Hallo,
ich hatte heute einen Kreditkartenumsatz (imvu.com) in USD, der definitiv nicht von mir war.
Also, gleich mal virenscan mit knoppicilin gemacht.
Habe eigentlich nur folgendes gefunden:

AntiVir / Linux Version 2.1.12-36
Copyright (c) 2008 by Avira GmbH.
All rights reserved.

Report erstellt am 20.05.2008 18:11:14

Kommandozeile: --alltypes -s -nolnk -ra -rs -r1 --alert-urls=yes --archive-max-recursion=10 --scan-mode=smart -rf/var/log/knoppicillin/20080520-1811-hda2-Avira-AntiVir-scan.log /media/hda2
VDF-Version: 7.0.4.69 erzeugt 20 Mai 2008

AntiVir-Lizenz: 149999 für c't Ausgabe 26/07 Testversion

Prüfe Laufwerk/Pfad (list): /media/hda2
ALERT: [SPR/Tool.IPScan.A] /media/hda2/prg/Netzwerk/Advanced IP Scanner/Advanced IP Scanner.exe <<< Enthält Erkennungsmuster des SPR/Tool.IPScan.A-Programmes
ALERT-URL: Virus Descriptions - Virus, Worm, Trojan
ALERT: [ADSPY/Stud.A.43] /media/hda2/WINDOWS/system32/msgina32.dll <<< Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Stud.A.43
ALERT-URL: Virus Descriptions - Virus, Worm, Trojan

--------- Suchergebnisse ---------
Verzeichnisse: 8317
Gescannte Dateien: 74435
Alarme: 2
Verdächtig: 0
Repariert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Benötigte Zeit: 00:46:43
----------------------------------
Ein Scan von Antivir in Windows auf die msgina32.dll bringt kein ergebnis.
Ist das jetzt schlimm? Fehlalarm?
Hat das was mit meiner Kreditkartenabbuchung zu tun?
Und wie gehe ich jetzt weiter vor?


Hier mal das Ergebnis von virustotal
Antivirus Version Last Update Result
AhnLab-V3 2008.5.20.0 2008.05.20 -
AntiVir 7.8.0.19 2008.05.20 ADSPY/Stud.A.43
Authentium 5.1.0.4 2008.05.19 -
Avast 4.8.1195.0 2008.05.20 Win32:Trojano-3384
AVG 7.5.0.516 2008.05.20 Adware Generic2.AMI
BitDefender 7.2 2008.05.20 Adware.Stud.Y
CAT-QuickHeal 9.50 2008.05.19 AdWare.Stud.a (Not a Virus)
ClamAV 0.92.1 2008.05.20 Trojan.BHO-83
DrWeb 4.44.0.09170 2008.05.20 Adware.Stud
eSafe 7.0.15.0 2008.05.20 -
eTrust-Vet 31.4.5806 2008.05.20 -
Ewido 4.0 2008.05.20 Adware.Stud
F-Prot 4.4.2.54 2008.05.16 W32/Adware.KBB
F-Secure 6.70.13260.0 2008.05.20 -
Fortinet 3.14.0.0 2008.05.20 -
GData 2.0.7306.1023 2008.05.20 Win32:Trojano-3384
Ikarus T3.1.1.26.0 2008.05.20 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2008.05.20 not-a-virus:AdWare.Win32.Stud.a
McAfee 5299 2008.05.20 potentially unwanted program Adware-KeenValue
Microsoft 1.3520 2008.05.20 Trojan:Win32/Webprefix
NOD32v2 3114 2008.05.20 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2008.05.19 W32/Stud.AE
Panda 9.0.0.4 2008.05.20 -
Prevx1 V2 2008.05.20 Malicious Software
Rising 20.45.12.00 2008.05.20 AdWare.Win32.Stud.a
Sophos 4.29.0 2008.05.20 MapKon
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.20 Adware.Webprefix
TheHacker 6.2.92.314 2008.05.20 Adware/Stud.a
VBA32 3.12.6.6 2008.05.20 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2008.05.20 -
Webwasher-Gateway 6.6.2 2008.05.20 Ad-Spyware.Stud.A.43
Additional information
File size: 12553 bytes
MD5...: 6c6edf159a1e65cc3ecce3d33f9965bf
SHA1..: bf2c6b728c01d91ac6d1b29c5dba18df74eea7af
SHA256: 69a415f66dc5702c06770f43ce6af395f5672a5913b693154a0d641f1ea68d73
SHA512: f9604be7435d055597f985ef4b4aed8f977d17ceca780c976187f65b687ffec6
2a4d588e1fe5005521c62d4ee484bcf6568991f44c8ed9a41eb3d0f539b3def2
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10008a90
timedatestamp.....: 0x4623608c (Mon Apr 16 11:39:56 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7000 0x2000 0x1e00 7.60 fce43c050bb547a2fb1b397c8f2b604c
UPX2 0x9000 0x1000 0x400 2.56 590f2dbb4fcc53881a731c9d4ed0dcea

( 6 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> ole32.dll: CoCreateGuid
> urlmon.dll: ObtainUserAgentString
> USER32.dll: CharNextA
> WININET.dll: InternetOpenA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: 42153788.DLL - Prevx
packers (Kaspersky): UPX
packers (F-Prot): UPX
packers (Avast): UPX

und hier noch hijack:
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallöle.

Also wenn sein System dermaßen kompromitiert ist, dass jemand deine Kreditkarte ausspioniert und diese Informationen auch noch nutzt dann gehört der Rechner formatiert!

Neuaufsetzten

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch.

Neuaufsetzten des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzten nicht ganz genau befolgst ist das Neuaufsetzten sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateieendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


PS: Mir wurde grade zugeflüstert, dass evtl. garnicht dein Rechner das Problem ist sondern eine Sicherheitslücke in einem PayPal oder eBay Account. Da gab es die letzten Monate viele Sicherheitslücken. Insofern solltest du auch diese Möglichkeit in Betracht ziehen; da können wir dir leider nicht helfen.

Der Stud. hat übrigens nichts mit deiner Abrechnung zu tun aber der kommt auch nicht von irgendwoher..

Also, ich gehe mal davon aus, dass die Kreditkartendaten nicht von meinem REchner abgefangen wurden.
Da tippe ich wirklich eher auf paypal oder ebay.

Ich wollte deswegen ja wissen, ob dieser Stud.a.43 überhaupt Kreditkartendaten o. ä. abfängt.
Noch eine Frage:
wie kriege ich den wieder los? und was bewirkt diese malware eigentlich?

danke!

O.k. das veränder die Situation natürlich.

Um sicher zu gehen sollten wir eine tiefer gehende Systemanalyse vornehmen.
Der Stud. ist eine einfach Malware ohne Fuktionen zum Passwortklau oder sonstigem. Google sollte dir da sehr behilflich sein.
Adware.Win32.Stud.a - a-squared Malware Beschreibung

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

ok, hier die daten

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:58, on 21.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\ASUS\ASUS Direct Console\LCMP.EXE
C:\Programme\FarStone\VirtualDrive\VHD\RDTask.exe
C:\prg\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\prg\SanDisk\Sansa Updater\SansaDispatch.exe
C:\prg\tools\Musicmatch\mmtask.exe
C:\WINDOWS\SuRun.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\prg\tools\Spybot\TeaTimer.exe
C:\prg\tools\AboutTime\AboutTime.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\prg\tools\VirtuaWin\VirtuaWin.exe
C:\prg\online\FRITZ!\IWatch.exe
C:\prg\OpenOffice.org 2.4\program\soffice.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\OpenOffice.org 2.4\program\soffice.BIN
C:\prg\tools\VirtuaWin\modules\VWAssigner.exe
C:\prg\tools\VirtuaWin\modules\WinList.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\prg\online\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
D:\download\HiJackThis\umbenannt_aus_sicherheitsgründen_HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://mitbestimmung-in-sparkassen.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\prg\tools\Spybot\SDHelper.dll
O2 - BHO: (no name) - {628C1832-9422-40AB-B8BE-D87A3D378696} - C:\WINDOWS\system32\msgina32.dll
O3 - Toolbar: pcwPrivilegien - {1D7A52EE-FBCB-4F46-AD2A-9C0ABAA20BC0} - C:\prg\tools\PC-WELT\PCWRUN~1\PCWPRI~1.DLL
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\prg\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [DirectMessenger] "C:\Program Files\ASUS\ASUS Direct Console\LCMP.EXE"
O4 - HKLM\..\Run: [VirtualDrive] C:\Programme\FarStone\VirtualDrive\vdtask.exe /AutoRestore /Silence
O4 - HKLM\..\Run: [RAMDrive] "c:\Programme\FarStone\VirtualDrive\VHD\RDTask.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\prg\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SansaDispatch] C:\prg\SanDisk\Sansa Updater\SansaDispatch.exe
O4 - HKLM\..\Run: [mmtask] "C:\prg\tools\Musicmatch\\mmtask.exe"
O4 - HKLM\..\Run: [SuRun Systemmenü-Erweiterung] C:\WINDOWS\SuRun.exe /SYSMENUHOOK
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_17\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\prg\tools\Spybot\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ISDNWatch.lnk = C:\prg\online\FRITZ!\IWatch.exe
O4 - Startup: NB Probe.lnk = C:\prg\tools\PC-WELT\pcwRunAs3\pcwRunAs3.exe
O4 - Startup: NHC.lnk = C:\prg\tools\PC-WELT\pcwRunAs3\pcwRunAs3.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\prg\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: PSI.lnk = C:\prg\tools\PC-WELT\pcwRunAs3\pcwRunAs3.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\prg\tools\Yahoo! Widget Engine\YahooWidgets.exe
O4 - Global Startup: AboutTime.lnk = C:\prg\tools\AboutTime\AboutTime.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: VirtuaWin.lnk = C:\prg\tools\VirtuaWin\VirtuaWin.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\prg\tools\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\prg\tools\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.asus.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA80C09B-A6F7-467D-80BA-F6D09B8DB970}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C783A27E-29D6-44FB-B7B8-4A9F56FB8EED}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDB6CB6-5A23-480A-8C16-8815DF2AAFA3}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JiWire WiFi Monitoring (JiWireWireless) - JiWire, Inc. - c:\dokumente und einstellungen\mustermann\lokale einstellungen\anwendungsdaten\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resources\jiwire.win\jiwirewifiwin.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Super User Run (SuRun) Service - h**p://kay-bruns.de - C:\WINDOWS\SuRun.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10155 bytes

Hallo,

könnt ihr mir bitte mitteilen, wie ich diese malware loswerde oder ob dieser harmlos ist?

danke!

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\SuRun.exe
c:\dokumente und einstellungen\mustermann\lokale einstellungen\anwendungsdaten\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resour ces\jiwire.win\jiwirewifiwin.exe
C:\WINDOWS\system32\msgina32.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

also, die datei surun.exe ist von der c't. Ich glaube kaum, dass diese schlimm ist. und die datei jiwirewifiwin.exe ist nur ein widget.
aber trotzdem, hier die ergebnisse:

File SuRun.exe received on 05.26.2008 19:23:47 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/32 (3.13%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2008.5.22.1 2008.05.26 -
AntiVir 7.8.0.19 2008.05.26 -
Authentium 5.1.0.4 2008.05.26 -
Avast 4.8.1195.0 2008.05.26 -
AVG 7.5.0.516 2008.05.26 -
BitDefender 7.2 2008.05.26 -
CAT-QuickHeal 9.50 2008.05.26 -
ClamAV 0.92.1 2008.05.26 -
DrWeb 4.44.0.09170 2008.05.26 -
eSafe 7.0.15.0 2008.05.26 -
eTrust-Vet 31.4.5823 2008.05.26 -
Ewido 4.0 2008.05.26 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.26 -
Fortinet 3.14.0.0 2008.05.26 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.26 -
Kaspersky 7.0.0.125 2008.05.26 -
McAfee 5303 2008.05.26 -
Microsoft 1.3520 2008.05.26 -
NOD32v2 3132 2008.05.26 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.25 -
Prevx1 V2 2008.05.26 Malicious Software
Rising 20.46.02.00 2008.05.26 -
Sophos 4.29.0 2008.05.26 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.26 -
TheHacker 6.2.92.320 2008.05.26 -
VBA32 3.12.6.6 2008.05.26 -
VirusBuster 4.3.26:9 2008.05.26 -
Webwasher-Gateway 6.6.2 2008.05.26 -
Additional information
File size: 253952 bytes
MD5...: 5ada5a23830d2b66e7a3335bb9390388
SHA1..: e983d3afc527a7d48e739617cde020628bb9d38e
SHA256: 5073f07d57787253fa8560c034f19cccad3f60485d0daa7253a2983d48d1a5dd
SHA512: 979f81dfe7c3f0b296a006c75e0ced88810d3584c1286699065d0d4e45a50621
4d498789476d22a12b2102cdc8b0d435166e08832617c694a5c3b12e2e30e78a
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

Datei JiWireWiFiWin.exe empfangen 2008.05.26 19:29:11 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.26 -
AntiVir 7.8.0.19 2008.05.26 -
Authentium 5.1.0.4 2008.05.26 -
Avast 4.8.1195.0 2008.05.26 -
AVG 7.5.0.516 2008.05.26 -
BitDefender 7.2 2008.05.26 -
CAT-QuickHeal 9.50 2008.05.26 -
ClamAV 0.92.1 2008.05.26 -
DrWeb 4.44.0.09170 2008.05.26 -
eSafe 7.0.15.0 2008.05.26 -
eTrust-Vet 31.4.5823 2008.05.26 -
Ewido 4.0 2008.05.26 -
F-Prot 4.4.4.56 2008.05.26 -
F-Secure 6.70.13260.0 2008.05.26 -
Fortinet 3.14.0.0 2008.05.26 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.26 -
Kaspersky 7.0.0.125 2008.05.26 -
McAfee 5303 2008.05.26 -
Microsoft 1.3520 2008.05.26 -
NOD32v2 3132 2008.05.26 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.25 -
Prevx1 V2 2008.05.26 -
Rising 20.46.02.00 2008.05.26 -
Sophos 4.29.0 2008.05.26 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.26 -
TheHacker 6.2.92.320 2008.05.26 -
VBA32 3.12.6.6 2008.05.26 -
VirusBuster 4.3.26:9 2008.05.26 -
Webwasher-Gateway 6.6.2 2008.05.26 -
weitere Informationen
File size: 53248 bytes
MD5...: 95cac2eb37f450ea3d422e452b3e8339
SHA1..: 2d0c546c1f18bcd52baca0311c0f1f656be1b5b2
SHA256: 44a5a77628d89236701cf09127d4a0bf7f7d3ef0666fd734d1b96ec8621f7f32
SHA512: 9dc0d749300bc132174fdd3adc3e87b78ca52afbff1f79517aea468e10698ff4
7cfb93e6c7c5b3b89a32079754a1e74d355388fff28df56610bb1e8a258b1218
PEiD..: -

das ergebnis von msgina32.dll steht ja schon ganz oben.