Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Tojaner vs. update.microsoft.com

Tojaner vs. update.microsoft.com


Log-Analyse und Auswertung: Tojaner vs. update.microsoft.com

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.07.2008, 14:48   #1
Stolli
 
Tojaner vs. update.microsoft.com - Standard

Tojaner vs. update.microsoft.com


Hallo!
Ich ärgere mich seit einiger Zeit mit einem nervigen Schädling herum, der einige Webseiten umleitet sowie den Zugriff auf den Microsoft Update Server blockiert. Alle (MS) Vorschläge das Update zum Laufen zu bekommen sind bisher fehlgeschlagen, es verbleibt der Hinweis das ich Malware auf dem Rechner habe.

OS: Windows XP SP2

Hier mein Hijackthis.log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:17, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\BUFFALO\NASNAVI\nassvc.exe
C:\windows\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\MT\MT.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\RauchFrei\RauchFrei.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\BUFFALO\NASNAVI\NasNavi.exe
C:\Programme\BUFFALO\NASNAVI\nassche.exe
C:\Programme\RobocopyMonitor\RobocopyMonitor.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Lüder Hoppe\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Meine Traffic] C:\PROGRA~1\MT\MT.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKCU\..\Run: [SWR3RauchFrei] "C:\Programme\RauchFrei\RauchFrei.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 11.5.0.1145 (User 'Default user')
O4 - Startup: BUFFALO NAS Navigator.lnk = C:\Programme\BUFFALO\NASNAVI\NasNavi.exe
O4 - Startup: NAS Scheduler.lnk = C:\Programme\BUFFALO\NASNAVI\nassche.exe
O4 - Startup: RobocopyMonitor.lnk = C:\Programme\RobocopyMonitor\RobocopyMonitor.exe
O4 - Startup: TK-Phone.lnk = C:\Programme\AGFEO2\TkSoft\tkphone.exe
O4 - Startup: Verknüpfung mit logon.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{56A0B425-678D-4535-97F1-71D4A823FD3B}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CB63851-341C-4897-8456-9C88E41EAD17}: NameServer = 216.6.108.140,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{7054E82D-8F3C-40DD-9A1F-50D11F174FD7}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{A21B9657-786A-4409-887C-DFDECCAD2334}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8881EA4-0150-4404-BAF2-C655A80587E9}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CS3\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NAS PM Service (NasPmService) - BUFFALO INC. - C:\Programme\BUFFALO\NASNAVI\nassvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 10116 bytes


Ich habe bereits versucht, die folgenden Zeilen zu fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{56A0B425-678D-4535-97F1-71D4A823FD3B}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CB63851-341C-4897-8456-9C88E41EAD17}: NameServer = 216.6.108.140,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{7054E82D-8F3C-40DD-9A1F-50D11F174FD7}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{A21B9657-786A-4409-887C-DFDECCAD2334}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8881EA4-0150-4404-BAF2-C655A80587E9}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CS3\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19

Habe damit aber nur den ERfolg erzielt, dass danach keine Verbindung mehr ins Internet zu Stande kam. Der Versuch, dies mit einem Programm namens LSPfix.exe wieder in Ordnung zu bringen war ebenfalls fruchtlos.

So langsam gehen mir die Ideen aus, was ich noch versuchen könnte.

Vielen Dank im Voraus...

Alt 01.07.2008, 15:25   #2
undoreal
/// AVZ-Toolkit Guru
 
Tojaner vs. update.microsoft.com - Standard

Tojaner vs. update.microsoft.com


Hallo Stolli und

Du surfst mit einer Umleitung über die Ukraine zu uns.

Fixe mit HJT folgende Einträge:
Zitat:
C:\Programme\RobocopyMonitor\RobocopyMonitor.exe
O4 - Startup: RobocopyMonitor.lnk = C:\Programme\RobocopyMonitor\RobocopyMonitor.exe
DNS-Einträge entfernen:

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

{mfg an [Gc]Sunny}

Fixe nun mit HijackThis folgende Einträge:
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{56A0B425-678D-4535-97F1-71D4A823FD3B}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CB63851-341C-4897-8456-9C88E41EAD17}: NameServer = 216.6.108.140,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{7054E82D-8F3C-40DD-9A1F-50D11F174FD7}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{A21B9657-786A-4409-887C-DFDECCAD2334}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8881EA4-0150-4404-BAF2-C655A80587E9}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19
O17 - HKLM\System\CS3\Services\Tcpip\..\{4B6601A3-CF1E-4883-86C3-C82C0A8CD91F}: NameServer = 69.50.168.138,85.255.112.19

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
UnbekanntC:\Programme\RobocopyMonitor\RobocopyMonitor.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Räume mit CCleaner auf und durchsuche den Rechner mit SUPERAntiSpyware und Anti-Malware und poste die logs!

Update danach auf SP3.
__________________

__________________
Alt 01.07.2008, 16:19   #3
Stolli
 
Tojaner vs. update.microsoft.com - Standard

Tojaner vs. update.microsoft.com


Hallo Sunny / Undoreal,

vielen Dank für die schnelle und kompetente Hilfe. Die Umleitung ist weg, das Problem ist gelöst. Ich hab schon Stunden mit diesem Problem verbracht und Du hast es gelöst!

Vielleicht aber auch nicht ganz, denn ich bin dahingehend von Deiner Anleitung abgewichen, als dass ich RobocopyMonitor.Exe nicht gefixt habe, da ich damit im Hintergrund eine regelmäßige Datensicherung durchführe, und es als Sownload von heise.de mit einem gewissen Vertrauensvorschuss behandle.

Hab es dann aber dennoch bei virustotal.com eingereicht mit folgendem Ergebnis:

Datei RobocopyMonitor.exe empfangen 2008.07.01 17:06:50 (CET)

Ergebnis: 5/33 (15.16%)
Laden der Serverinformationen...
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.1.0 2008.07.01 -
AntiVir 7.8.0.59 2008.07.01 -
Authentium 5.1.0.4 2008.07.01 W32/Backdoor2.BJJH
Avast 4.8.1195.0 2008.06.30 -
AVG 7.5.0.516 2008.07.01 -
BitDefender 7.2 2008.07.01 -
CAT-QuickHeal 9.50 2008.06.30 -
ClamAV 0.93.1 2008.07.01 Trojan.Mybot-10773
DrWeb 4.44.0.09170 2008.07.01 -
eSafe 7.0.17.0 2008.07.01 -
eTrust-Vet 31.6.5917 2008.07.01 -
Ewido 4.0 2008.07.01 -
F-Prot 4.4.4.56 2008.07.01 W32/Backdoor2.BJJH
F-Secure 7.60.13501.0 2008.07.01 Suspicious:W32/PeepViewer!Gemini
Fortinet 3.14.0.0 2008.07.01 -
GData 2.0.7306.1023 2008.07.01 -
Ikarus T3.1.1.26.0 2008.07.01 -
Kaspersky 7.0.0.125 2008.07.01 -
McAfee 5328 2008.06.30 -
Microsoft 1.3704 2008.07.01 -
NOD32v2 3232 2008.07.01 archive damaged
Norman 5.80.02 2008.07.01 -
Panda 9.0.0.4 2008.07.01 -
Prevx1 V2 2008.07.01 -
Rising 20.51.12.00 2008.07.01 -
Sophos 4.30.0 2008.07.01 -
Sunbelt 3.1.1509.1 2008.07.01 -
Symantec 10 2008.07.01 -
TheHacker 6.2.96.365 2008.07.01 -
TrendMicro 8.700.0.1004 2008.07.01 -
VBA32 3.12.6.8 2008.06.30 -
VirusBuster 4.5.11.0 2008.07.01 -
Webwasher-Gateway 6.6.2 2008.07.01 -
weitere Informationen
File size: 426423 bytes
MD5...: adbb53a9a3d469eb13ad03fa230e7c02
SHA1..: 8fb773f9767b5baa0fe74bea4c5ac30e1336dcbb
SHA256: 0d838933f580e9c93837e55fbccdcdd9cb82a7eb6941a266cb0c521adde60bc7
SHA512: 4f90ab8eb78a7d8c1bb0e4c2277028944054dbc1730283f086367084ec7a14cc
9b0d13e841c5ceeb48ae3913568edfe7a6057311a68888e966699fb1a7ca59b0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x441dfe
timedatestamp.....: 0x474423a6 (Wed Nov 21 12:25:10 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x56662 0x56800 6.67 8c4a59b91009b4375bfdf27afd84e412
.rdata 0x58000 0xa6d8 0xa800 5.40 2234f322e91b6d60657f1f78fb9314cd
.data 0x63000 0x7594 0x2000 3.86 a9f325dbf345bed9d5391f53bdae0482
.rsrc 0x6b000 0x4000 0x3600 4.92 979be68ce76cf45516c223e4995b0fa7

( 12 imports )
> WSOCK32.dll: -, -, -, -, -
> WINMM.dll: mixerClose, joyGetPosEx, mciSendStringA, mixerGetLineControlsA, mixerGetControlDetailsA, mixerGetDevCapsA, mixerGetLineInfoA, waveOutGetVolume, joyGetDevCapsA, waveOutSetVolume, mixerOpen, mixerSetControlDetails
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> COMCTL32.dll: -, ImageList_AddMasked, -, ImageList_GetIconSize, ImageList_Create, ImageList_Destroy, ImageList_ReplaceIcon
> KERNEL32.dll: Beep, MultiByteToWideChar, SetEnvironmentVariableA, FileTimeToLocalFileTime, GetSystemTimeAsFileTime, CreateProcessA, MulDiv, ReadFile, GetFileSize, CreateFileA, WideCharToMultiByte, ReadProcessMemory, WriteProcessMemory, TerminateProcess, SetPriorityClass, OpenProcess, GetCurrentProcessId, GetEnvironmentVariableA, GetDateFormatA, GetTimeFormatA, GetLocalTime, GetDiskFreeSpaceA, SetErrorMode, DeviceIoControl, GetVolumeInformationA, GetDriveTypeA, SetVolumeLabelA, GetFileAttributesA, CreateDirectoryA, WriteFile, GlobalSize, DeleteFileA, SetFileAttributesA, MoveFileA, LocalFileTimeToFileTime, GetSystemTime, GetComputerNameA, GetWindowsDirectoryA, GetTempPathA, GetFullPathNameA, GetShortPathNameA, SetLastError, FreeLibrary, LoadLibraryA, LeaveCriticalSection, EnterCriticalSection, GetExitCodeProcess, CompareStringA, RemoveDirectoryA, CopyFileA, GetCurrentProcess, GetPrivateProfileStringA, WritePrivateProfileStringA, FormatMessageA, MapViewOfFile, CreateFileMappingA, UnmapViewOfFile, SystemTimeToFileTime, FileTimeToSystemTime, GetStartupInfoA, HeapSize, HeapFree, HeapReAlloc, ExitProcess, HeapAlloc, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, OutputDebugStringA, FindFirstFileA, FindNextFileA, FindClose, GetModuleFileNameA, DeleteCriticalSection, GetVersionExA, CreateThread, SetThreadPriority, GetExitCodeThread, CloseHandle, CreateMutexA, GetLastError, lstrcmpiA, GetCurrentThreadId, GlobalUnlock, GlobalAlloc, GlobalLock, GlobalFree, InitializeCriticalSection, LCMapStringA, LCMapStringW, RtlUnwind, GetCurrentDirectoryA, GetModuleHandleA, GetProcAddress, Sleep, SetCurrentDirectoryA, GetTickCount, InterlockedExchange, VirtualQuery, SetHandleCount, GetStdHandle, GetFileType, GetACP, GetOEMCP, GetCPInfo, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetFilePointer, GetCommandLineA, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo, SetStdHandle, FlushFileBuffers, QueryPerformanceCounter, SetFileTime, SetEndOfFile
> USER32.dll: SetWindowTextA, IsWindowVisible, GetWindowRect, GetQueueStatus, SetWindowRgn, EnumWindows, ReleaseDC, GetDC, GetIconInfo, SetForegroundWindow, IsIconic, GetWindowTextLengthA, GetDlgItem, MessageBeep, EnumClipboardFormats, ClientToScreen, GetCaretPos, GetCursor, MoveWindow, SetActiveWindow, EnumChildWindows, SetFocus, EnableWindow, InvalidateRect, SetWindowPos, SetDlgItemTextA, SendDlgItemMessageA, IsZoomed, DefWindowProcA, FillRect, GetSysColorBrush, GetSysColor, RegisterWindowMessageA, DialogBoxParamA, GetMenuStringA, GetSubMenu, GetMenuItemID, GetMenuItemCount, IsWindowEnabled, ExitWindowsEx, RedrawWindow, CallWindowProcA, CheckRadioButton, MapWindowPoints, PtInRect, SetMenu, UpdateWindow, IntersectRect, DefDlgProcA, GetClassLongA, GetMessagePos, FlashWindow, SetMenuDefaultItem, AppendMenuA, DestroyMenu, IsMenu, DeleteMenu, SetMenuItemInfoA, CreatePopupMenu, CreateMenu, SetRect, GetDesktopWindow, SetClipboardViewer, DrawIconEx, GetWindow, GetTopWindow, BringWindowToTop, DestroyWindow, DestroyIcon, ChangeClipboardChain, IsCharAlphaA, AttachThreadInput, WindowFromPoint, GetSystemMetrics, mouse_event, keybd_event, GetKeyNameTextA, GetCursorPos, MapVirtualKeyA, VkKeyScanExA, GetKeyboardState, SetKeyboardState, GetWindowTextA, PostQuitMessage, CharUpperA, UnregisterHotKey, RegisterHotKey, SetWindowsHookExA, UnhookWindowsHookEx, PostThreadMessageA, CallNextHookEx, GetKeyboardLayout, ToAsciiEx, CharLowerA, IsCharAlphaNumericA, IsCharLowerA, IsCharUpperA, EmptyClipboard, SetClipboardData, OpenClipboard, GetClipboardFormatNameA, GetClipboardData, CloseClipboard, FindWindowA, PostMessageA, GetMessageA, GetFocus, GetForegroundWindow, GetWindowThreadProcessId, GetClassNameA, PeekMessageA, GetKeyState, GetWindowLongA, SendMessageA, IsDialogMessageA, ShowWindow, CountClipboardFormats, ScreenToClient, SetWindowLongA, TranslateAcceleratorA, DrawTextA, AdjustWindowRectEx, SystemParametersInfoA, GetClientRect, MessageBoxA, SendMessageTimeoutA, LoadCursorA, RegisterClassExA, CreateWindowExA, EnableMenuItem, TrackPopupMenuEx, LoadAcceleratorsA, TranslateMessage, DispatchMessageA, SetTimer, IsWindow, EndDialog, CopyImage, LoadImageA, KillTimer, GetMenu, CheckMenuItem, GetDlgCtrlID, GetParent, IsClipboardFormatAvailable, GetAsyncKeyState
> GDI32.dll: ExcludeClipRect, GetClipRgn, FillRgn, SetTextColor, SetBkColor, SetBkMode, GetObjectA, EnumFontFamiliesExA, GetClipBox, CreateCompatibleBitmap, BitBlt, GetPixel, CreateCompatibleDC, GetDIBits, GetSystemPaletteEntries, CreateEllipticRgn, CreateRoundRectRgn, CreateRectRgn, CreatePolygonRgn, CreateSolidBrush, CreateDCA, GetDeviceCaps, GetStockObject, SelectObject, GetTextFaceA, GetTextMetricsA, CreateFontA, DeleteObject, DeleteDC
> comdlg32.dll: GetOpenFileNameA, GetSaveFileNameA
> ADVAPI32.dll: RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, OpenSCManagerA, LockServiceDatabase, UnlockServiceDatabase, CloseServiceHandle, GetUserNameA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegEnumKeyExA, RegCloseKey, RegConnectRegistryA
> SHELL32.dll: DragQueryPoint, SHFileOperationA, SHGetMalloc, SHGetDesktopFolder, SHBrowseForFolderA, SHGetPathFromIDListA, ShellExecuteExA, Shell_NotifyIconA, DragQueryFileA, DragFinish, ExtractIconA
> ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize, CreateStreamOnHGlobal
> OLEAUT32.dll: -


Nun bin ich doch wieder ein wenig verunsichert.
Ach ja, nur zur Info: Unter XPProfessional konnte ich die Internetverbindung nicht wie beschrieben wieder einrichten. Habe eine manuelle Verbindung erstellt und musste dann noch Adressen für den DNS Server eingeben. Seitdem klappt es (hoffentlich dauerhaft) wieder.


LG, Stolli
__________________
Alt 01.07.2008, 16:29   #4
undoreal
/// AVZ-Toolkit Guru
 
Tojaner vs. update.microsoft.com - Standard

Tojaner vs. update.microsoft.com


Zitat:
und es als Sownload von heise.de mit einem gewissen Vertrauensvorschuss behandle
Das kann ich gut verstehen..
Wäre auch echt ein starkes Stück.

E-Mail an Heise-Software ist raus. Ich geb' dir Bescheid wenn sich was neues ergibt..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 01.07.2008, 16:41   #5
Stolli
 
Tojaner vs. update.microsoft.com - Standard

Tojaner vs. update.microsoft.com


Hallo Undoreal,

ich muss es ein wenig präzisieren: ich fahre eine von Heise.de beschriebene Backuplösung:
Backup mit Robocopy, Themen-Special im heise Software-Verzeichnis

Robocopy selbst ist von Microsoft, ob der Monitor dazugehört oder nicht kann ich gerade nicht sagen. Ist aber alles in dem Artikel (siehe Link) beschrieben.


Antwort

Themen zu Tojaner vs. update.microsoft.com
.com, adobe, antivir, antivirus, askbar, avira, bho, buffalo, cs3, ctfmon.exe, desktop, drivers, einstellungen, firefox, hijack, hkus\s-1-5-18, home, internet, internet explorer, langsam, magix, malware, mozilla, mozilla firefox, remote control, rundll, schädling, server, software, system, thomson, tojaner, windows, windows xp


« Massig augehende SMTP Connections | Worm Win32 NetSky... »


Ähnliche Themen: Tojaner vs. update.microsoft.com


  1. Sicherheitslücke: Microsoft versäumt Update für IE 8
    Nachrichten - 22.05.2014 (0)
  2. Windows 8.1 Secunia PSI Microsoft Update?
    Alles rund um Windows - 19.04.2014 (1)
  3. Außerplanmäßiges Sicherheits-Update von Microsoft
    Nachrichten - 30.12.2011 (0)
  4. Microsoft plant 12 Update für kommenden Dienstag
    Nachrichten - 04.02.2011 (0)
  5. Anti Virenseiten und Microsoft Update blockiert
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (15)
  6. Adobe denkt über kürzere Update-Zyklen und die Nutzung von Microsoft Update nach
    Nachrichten - 27.05.2010 (0)
  7. Problem mit Microsoft/Windows Update Seite
    Alles rund um Windows - 26.05.2010 (1)
  8. Microsoft Update funktionieren nicht
    Alles rund um Windows - 14.05.2010 (1)
  9. Sicherheits-Update von Microsoft führt zu Bluescreen
    Nachrichten - 12.02.2010 (0)
  10. Nur ein Microsoft-Update am kommenden Patchday
    Nachrichten - 08.01.2010 (0)
  11. Firefox blockierte Add-on von Microsoft [2. Update]
    Nachrichten - 19.10.2009 (0)
  12. Firefox blockierte Add-on von Microsoft [Update]
    Nachrichten - 19.10.2009 (0)
  13. Zwangs-Update für Microsoft Live Messenger
    Nachrichten - 01.09.2009 (0)
  14. Microsoft zentralisiert Office-Update
    Nachrichten - 19.08.2009 (0)
  15. Microsoft update wird nicht angezeigt
    Log-Analyse und Auswertung - 10.01.2009 (1)
  16. Microsoft Update nicht mehr möglich!
    Log-Analyse und Auswertung - 05.01.2009 (1)
  17. Microsoft Update
    Alles rund um Windows - 30.09.2006 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Tojaner vs. update.microsoft.com - Hallo! Ich ärgere mich seit einiger Zeit mit einem nervigen Schädling herum, der einige Webseiten umleitet sowie den Zugriff auf den Microsoft Update Server blockiert. Alle (MS) Vorschläge das Update - Tojaner vs. update.microsoft.com...
Archiv
Du betrachtest: Tojaner vs. update.microsoft.com auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55