Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen!

meckie · 02.04.2008, 13:25

Hallo erstmal!

Der Antivirguard hat heute nach dem öffnen von "Systemsteuerung->Programme und Funktionen" einen Virus-Alarm angezeigt.
Es wurde das Trojanische Pferd Killav.NT gefunden.
Pfad:
C:\Program Files\Vimicro Corporation\VMC302\DriverBackup\killbill.exe
Komischer Weise ist dieser Ordner auf C:\ nicht zu finden obwohl "alle Dateien anzeigen" aktiviert ist.
Diese Meldung kommt immer wenn "Systemsteuerung->Programme und Funktionen" geöffnet wird.

System:
Samsung Q45
Windows Vista Home Premium
32 Bit
Intel Core 2 Duo T7250
2046 MB RAM

Hier noch das LOG-File des kompletten Systemscans mit Antivir und Hijackthis

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 2. April 2008 12:27

Es wird nach 1174697 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Benutzername: SYSTEM
Computername: ****

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 11:29:07
ANTIVIR2.VDF : 7.0.3.85 434176 Bytes 27.03.2008 10:21:44
ANTIVIR3.VDF : 7.0.3.107 90624 Bytes 02.04.2008 10:21:44
AVEWIN32.DLL : 7.6.0.78 3408384 Bytes 02.04.2008 10:21:45
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 17.01.2008 12:51:09
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 2. April 2008 12:27

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLUBackgroundService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '61' Prozesse mit '61' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '12' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Vimicro Corporation\VMC302\DriverBackup\killbill.exe
[FUND] Ist das Trojanische Pferd TR/Killav.NT
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\'

Ende des Suchlaufs: Mittwoch, 2. April 2008 13:45
Benötigte Zeit: 1:18:22 min

Der Suchlauf wurde vollständig durchgeführt.

11579 Verzeichnisse wurden überprüft
266188 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
266187 Dateien ohne Befall
1855 Archive wurden durchsucht
2 Warnungen
5 Hinweise

Logfile of HijackThis v1.99.1
Scan saved at 14:00:21, on 02.04.2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Windows\Explorer.EXE
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\conime.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Maria\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4312DE2E-0E64-45FA-800E-405ECE5B510D}: NameServer = 217.237.151.51,217.237.149.205
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 006 (ClipInc006) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 007 (ClipInc007) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Bitte um Hilfe zwecks enfernen oder ist es vielleicht ein Fehlarlam!?!

Danke schon mal im Voraus!

02.04.2008, 17:10

hi meckie und Herzlich Willkommen

Das es eine Fehlmeldung ist kann ich mir nur schlecht vorstellen, also dieser Trojaner kann relativ schädlich sein.
Ganz kurze Beschreibung: Also er kann AntiViren Programme ausschalten, systemabhängige dateien verändern, er kann auch weitere Malware auf dein System laden oder auch einfach persönliche Daten von dir ausspionieren

Bitte lasse einmal ComboFix (findest du in meiner Signatur) laufen. Vorher aberCCleaner benutzen. Das Logfile bitte posten

(nur das von ComboFix)

Bitte wende auch einmal Malwarebytes an. (Report posten)
Bitte die infizierte Datein einmal hier oder hier online scannen lassen. (report posten)

meckie · 02.04.2008, 20:54

Danke für die Hilfe!

Malwarebytes' Anti-Malware 1.10
Datenbank Version: 583

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 107561
Scan Dauer: 22 minute(s), 4 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

meckie · 02.04.2008, 21:03

Die Onlinescans kann ich leider nicht machen weil ich die datei bzw. das verzeichnis, in dem antivir den trojaner entdeckt hat, nicht sehen bzw. finden kann.

ComboFix 08-04-01.2 - ******* 2008-04-02 20:59:46.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1282 [GMT 2:00]
ausgeführt von:: D:\Downloads\ComboFix.exe
.

Weitere Löschungen
.

C:\Windows\msetup
C:\Windows\msetup\BASW-00500A10\Install.exe
C:\Windows\msetup\BASW-00500A10\install.ini
C:\Windows\msetup\BASW-00500A10\setup.exe
C:\Windows\msetup\BASW-00500A10\SWDesc.txt
C:\Windows\msetup\MSetup.exe

.
Dateien erstellt von 2008-03-02 bis 2008-04-02

2008-04-02 11:30 . 2008-04-02 11:30 <DIR> d-------- C:\Users\******\AppData\Roaming\Canon
2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\Users\*******\AppData\Roaming\ScanSoft
2008-04-02 11:27 . 2008-04-02 11:46 <DIR> d-------- C:\Users\All Users\ScanSoft
2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\Users\All Users\InstallShield
2008-04-02 11:27 . 2008-04-02 11:46 <DIR> d-------- C:\ProgramData\ScanSoft
2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\ProgramData\InstallShield
2008-04-02 11:17 . 2008-04-02 11:17 <DIR> d--h----- C:\Windows\System32\CanonIJ Uninstaller Information
2008-04-02 11:17 . 2008-04-02 11:17 <DIR> d--h----- C:\Program Files\CanonBJ
2008-04-02 11:16 . 2008-04-02 11:45 <DIR> d-------- C:\Program Files\Canon
2008-04-02 11:15 . 2008-04-02 11:15 <DIR> d--h----- C:\Users\All Users\CanonBJ
2008-04-02 11:15 . 2008-04-02 11:15 <DIR> d--h----- C:\ProgramData\CanonBJ
2008-04-02 11:14 . 2006-03-26 22:00 161,792 --a------ C:\Windows\System32\CNMLM82.DLL
2008-03-23 20:53 . 2008-03-24 19:11 <DIR> d-------- C:\Users\*******\AppData\Roaming\Command & Conquer 3 Tiberium Wars Demo
2008-03-23 20:31 . 2008-03-23 20:31 <DIR> d-------- C:\Users\*******\AppData\Roaming\Command & Conquer 3 Tiberium Wars Demo
2008-03-23 20:24 . 2008-03-05 16:56 3,786,760 --a------ C:\Windows\System32\D3DX9_37.dll
2008-03-23 20:24 . 2008-03-05 16:56 1,420,824 --a------ C:\Windows\System32\D3DCompiler_37.dll
2008-03-23 20:24 . 2007-10-12 16:14 1,374,232 --a------ C:\Windows\System32\D3DCompiler_36.dll
2008-03-23 20:24 . 2008-03-05 17:03 479,752 --a------ C:\Windows\System32\XAudio2_0.dll
2008-03-23 20:24 . 2008-02-06 00:07 462,864 --a------ C:\Windows\System32\d3dx10_37.dll
2008-03-23 20:24 . 2007-10-02 10:56 444,776 --a------ C:\Windows\System32\d3dx10_36.dll
2008-03-23 20:24 . 2007-10-22 04:39 267,272 --a------ C:\Windows\System32\xactengine2_10.dll
2008-03-23 20:24 . 2008-03-05 17:03 238,088 --a------ C:\Windows\System32\xactengine3_0.dll
2008-03-23 20:24 . 2008-03-05 17:00 25,608 --a------ C:\Windows\System32\X3DAudio1_3.dll
2008-03-23 20:06 . 2008-03-23 20:06 <DIR> d-------- C:\Program Files\Electronic Arts
2008-03-23 17:35 . 2008-03-23 17:35 <DIR> d-------- C:\Users\*******\AppData\Roaming\Zylom
2008-03-12 12:31 . 2008-03-19 14:48 <DIR> d-------- C:\Users\*******\AppData\Roaming\teamspeak2
2008-03-12 10:41 . 2007-12-17 00:50 1,060,920 --a------ C:\Windows\System32\drivers\ntfs.sys
2008-03-12 10:41 . 2007-12-16 11:56 41,984 --a------ C:\Windows\System32\drivers\monitor.sys
2008-03-11 17:28 . 2008-03-11 17:28 <DIR> d-------- C:\Users\*******\AppData\Roaming\teamspeak2
2008-03-11 17:28 . 2008-03-11 17:28 34,064 --a------ C:\Windows\System32\lhacm.acm
2008-03-11 17:27 . 2008-03-11 17:28 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-03-05 11:43 . 2008-03-05 12:01 <DIR> d-------- C:\Program Files\Common Files\Blizzard Entertainment
2008-03-03 19:01 . 2008-03-23 17:36 <DIR> d-------- C:\Users\All Users\Zylom
2008-03-03 19:01 . 2008-03-23 17:36 <DIR> d-------- C:\ProgramData\Zylom

.
Find3M Bericht
.
2008-04-02 12:30 27,335 ----a-w C:\Users\*******\AppData\Roaming\nvModes.dat
2008-04-02 09:27 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-03-28 12:22 --------- d-----w C:\Users\*******\AppData\Roaming\Azureus
2008-03-23 18:33 27,905 ----a-w C:\Users\*******\AppData\Roaming\nvModes.dat
2008-03-23 18:05 --------- d-----w C:\Program Files\Java
2008-03-12 15:07 --------- d-----w C:\Program Files\Windows Mail
2008-03-03 15:55 1,538,824 ----a-w C:\Windows\CISUnins.exe
2008-03-03 15:55 1,538,824 ----a-w C:\Windows\CICUnins.exe
2008-03-01 20:39 --------- d-----w C:\Users\*******\AppData\Roaming\ICQ
2008-02-13 15:07 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-13 15:07 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-13 15:04 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-13 15:04 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-13 15:04 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-13 15:04 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-13 15:04 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-02-13 15:04 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-13 15:04 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-13 15:03 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-13 15:03 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-13 15:03 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-13 15:03 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-13 15:03 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-13 15:03 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-13 15:03 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-13 15:03 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-13 15:03 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-13 15:03 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-13 15:03 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-13 15:01 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-13 15:01 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-13 15:01 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-13 15:01 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-01-09 15:39 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2007-11-11 13:17 174 --sha-w C:\Program Files\desktop.ini
.

Autostart Punkte der Registrierung
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-09-26 02:05 1006264]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-05-23 08:35 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-05-23 08:35 8433664]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-05-23 08:35 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-15 01:50 4399104 C:\Windows\RtHDVCpl.exe]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-07 04:17 839680]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 08:10 56928]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 15:55 54832]
"avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-12 00:25 249896]
"ClipIncSrvTray"="D:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" [2008-01-10 19:42 434176]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"NoHotStart"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{2B0D1C36-16BE-44C1-BC12-6537855CB3DA}D:\\program files\\icq6\\icq.exe"= UDP:D:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{EC6D2111-7982-47DB-B5BD-1812C3712948}D:\\program files\\icq6\\icq.exe"= TCP:D:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{95CFB972-5903-434D-9C03-542D713F719E}D:\\programme\\tobit clipinc\\player\\clipinc-player.exe"= UDP:D:\programme\tobit clipinc\player\clipinc-player.exe:ClipInc. Player
"UDP Query User{36E02A33-DCE8-40CB-8D9A-49ABC5030CD6}D:\\programme\\tobit clipinc\\player\\clipinc-player.exe"= TCP:D:\programme\tobit clipinc\player\clipinc-player.exe:ClipInc. Player
"TCP Query User{032298EF-A9BB-46A9-9E34-7E18E9708B7D}D:\\program files\\azureus\\azureus.exe"= UDP:D:\program files\azureus\azureus.exe:Azureus
"UDP Query User{3D4C9986-0476-4152-A291-E1AEABF6519C}D:\\program files\\azureus\\azureus.exe"= TCP:D:\program files\azureus\azureus.exe:Azureus
"TCP Query User{248DD9CA-81FB-4A1A-8287-C60E29FF9D9B}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"UDP Query User{7FCDFF4F-0A5F-46AA-B6E4-DA22C3A376FA}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"TCP Query User{DFAA826C-CD78-4C56-9515-36599BB7F3E5}D:\\downloads\\wow-dede-installer-downloader(2).exe"= UDP:D:\downloads\wow-dede-installer-downloader(2).exe:Blizzard Downloader
"UDP Query User{DB8A9307-6EF4-46B5-B9A6-09B4A8752DA0}D:\\downloads\\wow-dede-installer-downloader(2).exe"= TCP:D:\downloads\wow-dede-installer-downloader(2).exe:Blizzard Downloader
"TCP Query User{7139B4D3-74A7-4CAE-A3A4-3630131C051B}D:\\downloads\\wow-burningcrusade-dede-installer-downloader(2).exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader(2).exe:Blizzard Downloader
"UDP Query User{0853D1BF-0554-4EF4-8F68-0B6ACFA05DCC}D:\\downloads\\wow-burningcrusade-dede-installer-downloader(2).exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader(2).exe:Blizzard Downloader
"TCP Query User{E152FFEC-CA94-460C-8154-7F20F304AEAB}D:\\downloads\\wow-dede-installer-downloader(3).exe"= UDP:D:\downloads\wow-dede-installer-downloader(3).exe:Blizzard Downloader
"UDP Query User{E5470AA3-169E-4078-B85B-469E3AC6DFF4}D:\\downloads\\wow-dede-installer-downloader(3).exe"= TCP:D:\downloads\wow-dede-installer-downloader(3).exe:Blizzard Downloader
"TCP Query User{3BC2AA92-A856-44CD-A458-3904D6156DB5}D:\\downloads\\wow-dede-installer-downloader(4).exe"= UDP:D:\downloads\wow-dede-installer-downloader(4).exe:Blizzard Downloader
"UDP Query User{A9EC7C1D-1C74-4641-86C9-BC59F8C62BB1}D:\\downloads\\wow-dede-installer-downloader(4).exe"= TCP:D:\downloads\wow-dede-installer-downloader(4).exe:Blizzard Downloader
"TCP Query User{56814CAA-D469-4E48-B2B6-9249301DBC3A}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"UDP Query User{89A68961-46EA-4C18-BC30-1E67C69F5927}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"TCP Query User{81A6D3E8-B8E9-41D3-BB3B-9C0482B0E05E}D:\\program files\\icq6\\icq.exe"= UDP:D:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{F22287B6-3550-4350-91E7-AEB2C124FC84}D:\\program files\\icq6\\icq.exe"= TCP:D:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{C15C5E74-2C65-42B4-98BC-E0AF8222EA26}D:\\programme\\world of warcraft\\backgrounddownloader.exe"= UDP:D:\programme\world of warcraft\backgrounddownloader.exe:Blizzard Downloader
"UDP Query User{93CDA4B1-D42E-439A-B9F2-637FD02E7CEC}D:\\programme\\world of warcraft\\backgrounddownloader.exe"= TCP:D:\programme\world of warcraft\backgrounddownloader.exe:Blizzard Downloader
"TCP Query User{927266F1-98E0-4D6D-A253-EE69645FA5F1}D:\\programme\\world of warcraft\\repair.exe"= UDP:D:\programme\world of warcraft\repair.exe:Blizzard Repair Utility
"UDP Query User{CF832AC3-0B34-4B6D-B4FE-9EB4E4981DA8}D:\\programme\\world of warcraft\\repair.exe"= TCP:D:\programme\world of warcraft\repair.exe:Blizzard Repair Utility
"TCP Query User{557221C3-1C53-4000-9FB0-42122C3CB4B6}D:\\programme\\world of warcraft\\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe"= UDP:D:\programme\world of warcraft\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe:Blizzard Downloader
"UDP Query User{9AB49DCB-0394-49DF-B155-EA060590B72A}D:\\programme\\world of warcraft\\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe"= TCP:D:\programme\world of warcraft\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe:Blizzard Downloader

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 ClipInc001;ClipInc 001;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 ClipInc004;ClipInc 004;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 004 []
R2 ClipInc005;ClipInc 005;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 005 []
R2 ClipInc006;ClipInc 006;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 006 []
R2 ClipInc007;ClipInc 007;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 007 []
R2 KMDFMEMIO;SAMSUNG Kernel Driver;C:\Windows\system32\DRIVERS\kmdfmemio.sys [2006-11-14 02:11]
R3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2006-12-20 21:08]
R3 btwavdt;Bluetooth AVDT Service;C:\Windows\system32\drivers\btwavdt.sys [2006-12-20 21:04]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-12-20 21:07]
R3 VMC302;Vimicro Camera Service VMC302;C:\Windows\system32\Drivers\VMC302.sys [2007-10-17 16:48]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-15 19:12]
S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;C:\Windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 09:30]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36]
S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 03:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

.
Inhalt des "geplante Tasks" Ordners
"2008-04-02 08:40:09 C:\Windows\Tasks\User_Feed_Synchronization-{9C268030-B79E-4802-A26B-05DD5327AA1A}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w**.gmer.net
Rootkit scan 2008-04-02 21:00:54
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-02 21:01:13
ComboFix-quarantined-files.txt 2008-04-02 19:01:11
7 Verzeichnis(se), 10,610,475,008 Bytes frei
15 Verzeichnis(se), 10,583,334,912 Bytes frei
.
2008-04-02 15:06:08 --- E O F ---

03.04.2008, 12:57

Hast du es auch mal mit der Option alle verstecken Ordner und Verzeichnisse anzeigen versucht??

Wenn du nicht weisst wie, also: du gehst auf deinen Arbeitsplatz danach auf Extras, Ordneroptionen, Ansicht und scrollst etwas nach unten dort siehst du dann "Alle Ordner und Dateien anzeigen" bitte dieses anwählen und schauen ob die die Datein doch nicht findest

meckie · 03.04.2008, 15:16

Ok ich guck nochmal nach aber "versteckte und systemdateien anzeigen" hab ich schon aktiviert gehabt und ich sehe auch die üblichen versteckten dateien aber halt weder das verzeichniss noch die datei, auch bei einer suche nach der vermeintlichen killbill.exe bekomme ich kein ergebnis. Es besteht doch bestimmt die möglichkeit, dass das schadprogramm in der lage ist sich selbst zu tarnen oder? Oder es ist wirklich ein Fehlalarm!?! Was sagen denn die Log's aus, ist dort irgendwas ungewöhnliches zu erkennen? Ich bin dort nicht so bewandert aber möchte behaupten, dass das ok aussieht....
Bis jetzt hat sich der Trojaner auch noch nicht bemerkbar gemacht, einzig das notebook arbeitet ein wenig langsamer als sonst aber das kann auch einbildung meinerseits sein.
Mach es sinn mal einen Portscan zu machen, ob der Trojaner heimlich Ports geöffnet und Dienste gestartet hat?

gruß Meckie

Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen!

Plagegeister aller Art und deren Bekämpfung: Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen!