Ok, schonmal danke für diese Aufklärung - was man nicht alles innerhalb von zwei Tagen dazulernt, wenn man ein Problem hat... ;-)

Also, hab Malwarebytes mal komplett durchlaufen lassen. Zuerst hatte ich vergessen, AntiVir auszustellen. Dieses meldete sich prompt, als Malwarebytes zu den Systemwiederherstellungsdateien kam. Da drin war noch einmal das Schadprogramm "BDS/Backdoor.GEN", so wie schon in der einen befallenen .exe von gestern Abend.

Machte für mich aber dahingehend Sinn, als dass das Schadprogramm ja auch nur ein Teil des Systems darstellt, welches von der Wiederherstellung gespeichert wird. Hab daraufhin die Datei von AntiVir löschen lassen und gleichzeitig die Systemwiederherstellung deaktiviert, so dass auch die Wiederherstellungsdateien gelöscht wurden.

Danach hab ich AntiVir komplett durchlaufen lassen - von "BDS/Backdoor.Gen" war nichts mehr zu sehen.

Dann Neustart und ohne den AVGuard Malwarebytes durchlaufen lassen. Hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 957
Windows 5.1.2600 Service Pack 2

18:37:38 16.07.2008
mbam-log-7-16-2008 (18-37-38).txt

Scan Art: Komplett Scan (C:\|F:\|)
Objekte gescannt: 219585
Scan Dauer: 30 minute(s), 33 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
         

So wie ich es sehe, kann ich doch vorsichtig optimistisch sein, oder?

Wenn du die betroffene Datei in der Quarantäne von AntiVir hättest, dann könnten wir die bei Virustotal hochladen und auswerten lassen.

Dateien in dem Ordner System Volume Information sind öfters beschädigt und werden deswegen von der generischen Suche (Kenntlich an der Endung .Gen) des AV als bösartig erkannt.

War bei mir auch schon oft der Fall, hab die Dateien analysieren lassen, und das oben genannte kam dabei raus

Aber um sicher zu gehen, solltest du deine Passwörter von einem sauberen Rechner aus ändern und das Verhalten des Betroffenen im Auge behalten.
Falls du was Ungewöhnliches feststellst, melde es bitte.

mfg

Danke, super.

Also - nur um nochmal sicher zu gehen - sieht es doch bisher ganz gut aus, oder?

Kann Dir wirklich gar nicht genug danken, finde es immer wieder erstaunlich, dass es Leute wie Dich gibt, die für lau anderen so schnell unter die Arme greifen.

Ich werd dann ganz einfach jedes Mal, wenn ich mich an den Rechner setze, AntiVir und Malwarebytes durchlaufen lassen, dann sollten mir doch Veränderungen auffallen, oder?

Ansonsten gibt es allerdings immer noch das Problem mit dem Laptop meiner Freundin. Das Komische ist, dass dort auch an den üblichen Pfaden Dateien von Driveguard und Flashguard sind, diese aber einfach von AntiVir und anderen Programmen nicht erkannt werden, trotz neuester Definitionen, wohingegen AntiVir bei mir ja sofort angeschlagen war...

Zitat:

Also - nur um nochmal sicher zu gehen - sieht es doch bisher ganz gut aus, oder?

Ja, aber wie gesagt, vorrübergehend

Zitat:

Kann Dir wirklich gar nicht genug danken, finde es immer wieder erstaunlich, dass es Leute wie Dich gibt, die für lau anderen so schnell unter die Arme greifen.

Kein Ding, ich mach das gern

Zitat:

Ansonsten gibt es allerdings immer noch das Problem mit dem Laptop meiner Freundin. Das Komische ist, dass dort auch an den üblichen Pfaden Dateien von Driveguard und Flashguard sind, diese aber einfach von AntiVir und anderen Programmen nicht erkannt werden, trotz neuester Definitionen, wohingegen AntiVir bei mir ja sofort angeschlagen war...

Da sollte sie einen eigenen Thread eröffnen und explizit ihr Problem darstellen, und das Avira bei ihr nichts findet, könnte evtl. an einem Rootkit liegen.
Ich will da aber jetzt keine voreiligen Schlüsse ziehn, ich denke ihr wird man da auch helfen.
Mein Rat, ein sauberes Neuaufsetzen schafft jedes Malwareproblem beiseite

mfg

Hallo nochmal.

Also, es gibt Neuigkeiten bezüglich meines ominösen Besuchers auf dem Rechner:

Zum einen habe ich das Uninetzwerk definitiv als Quelle festmachen können, da ich mich heute mit einigen Kommilitonen ausgetauscht habe, die alle(!), auch in verschiedenen Übungsräumen auf Flashguard gestoßen sind, der sich auch auf deren USB-Sticks gesetzt hat.

Allerdings habe ich jetzt noch eine Frage zu dem mutmaßlichen Backdoor Server (BDS/Backdoor.GEN).
Die Datei, in der er gefunden wurde, also "kailleraserv.exe" gehört zu einem Emulator, der über diese .exe auch in der Lage ist, eine Verbindung ins Internet aufzubauen. Seit fast zwei Jahren habe ich den Emulator nicht mehr verwendet, und AntiVir hat bei den Tests in diesem Zeitraum nie etwas gefunden.
Dann allerdings sowohl bei meiner Freundin, als auch heute bei meinen Eltern auf dem heimatlichen PC, den ich seit fast drei Monaten auch nicht mehr benutzt habe.

Könnte der Fund eventuell wirklich nur ein falscher Alarm von Antivir sein? Es wäre doch auf der einen Seite recht ungewöhnlich, wenn entweder das Programm erst nach mehreren Jahren ohne Benutzung aktiv wird, oder aber Avira seit zwei Jahren keine Definitionsdatei rausbringen würde, die dieses Problem nicht schon früher gefunden hätte, oder?

Ich habe die Vermutung eines Fehlalarms daher, weil auch bei meinen Eltern, die nun wie gesagt schon seit langer Zeit nichts mehr mit USB Sticks o.ä. vonmir zu tun hatten, auch plötzlich nach einem Definitionsupdate in eben genau dieser jahrealten Datei eben genau jenen "Fund" haben.

Ist diese Hypothese plausibel, oder nicht?

Ach ja, hier auch nochmal eine aktuelle HijackThis Logdatei:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:25, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Zemtron/Eigene%20Dateien/Dreamweaver%203/Z_EXPLORER/zxp.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [BOTray] C:\WINDOWS\BOTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O12 - Plugin for .WAV: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 6693 bytes
         

Hallo,

Ich würde die betroffene Datei Avira zur Analyse senden.
Berichte uns dann, was sie zu der Datei sagen.
Wichtig: Du musst bei dem Punkt Typ: Verdacht auf Fehlalarm auswählen.

Das hier mit HijackThis fixen:
- Schließe alle anderen Programme
- Klicke auf den Button Do only a system scan
- Setze ein Häkchen bei dem betroffenen Eintrag
- Klicke auf fix checked
- Reboote den Rechner neu

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Zemtron/Eigene%20Dateien/Dreamweaver% 203/Z_EXPLORER/zxp.htm

Wollen wir uns mal dein System genauer anschauen...
Mache mal bitte folgendes:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg

Hallo nochmal,

also, bin ab morgen wieder im Semesterurlaub bei meinen Eltern, die haben die fragliche Datei zum Glück noch, und ich werde die mal zu Avira schicken und auch bei Viroustotal hochladen.

Hier das Scanergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.6.0 began on 17.07.2008 at 23:27:11,36

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Zemtron" 

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : FAT32

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Zemtron\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\NINA\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Zemtron\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\NINA\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Zemtron\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\NINA\startm~1\progra~1" *** 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Zemtron\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\NINA\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Zemtron\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\NINA\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 17.07.2008 at 23:30:00,33 ***
         

Du bist sauber, keine Malware gefunden

mfg

Also, hatte endlich die Möglichkeit, den potentiellen Backdoorserver in der Datei kailleraserv.exe bei meinen Eltern an VirusTotal zu schicken.

Hier das Ergebnis, stützt eigentlich meine These des Fehlalarms, oder?:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.7.17.0	2008.07.18	-
AntiVir	7.8.1.11	2008.07.18	BDS/Backdoor.Gen
Authentium	5.1.0.4	2008.07.19	-
Avast	4.8.1195.0	2008.07.18	-
AVG	8.0.0.130	2008.07.18	-
BitDefender	7.2	2008.07.19	-
CAT-QuickHeal	9.50	2008.07.18	-
ClamAV	0.93.1	2008.07.19	-
DrWeb	4.44.0.09170	2008.07.19	-
eSafe	7.0.17.0	2008.07.17	Suspicious File
eTrust-Vet	31.6.5966	2008.07.18	-
Ewido	4.0	2008.07.19	-
F-Prot	4.4.4.56	2008.07.18	-
F-Secure	7.60.13501.0	2008.07.19	-
Fortinet	3.14.0.0	2008.07.19	-
GData	2.0.7306.1023	2008.07.19	-
Ikarus	T3.1.1.34.0	2008.07.19	-
Kaspersky	7.0.0.125	2008.07.19	-
McAfee	5342	2008.07.18	-
Microsoft	1.3704	2008.07.19	-
NOD32v2	3281	2008.07.18	-
Norman	5.80.02	2008.07.18	-
Panda	9.0.0.4	2008.07.18	-
Prevx1	V2	2008.07.19	-
Rising	20.53.52.00	2008.07.19	-
Sophos	4.31.0	2008.07.19	-
Sunbelt	3.1.1536.1	2008.07.18	-
Symantec	10	2008.07.19	-
TheHacker	6.2.96.384	2008.07.19	-
TrendMicro	8.700.0.1004	2008.07.18	-
VBA32	3.12.8.1	2008.07.18	-
VirusBuster	4.5.11.0	2008.07.18	-
Webwasher-Gateway	6.6.2	2008.07.19	Trojan.Backdoor.Backdoor.Gen
weitere Informationen
File size: 20992 bytes
MD5...: 00f58c718b86421a3104768d0ff83b42
SHA1..: d0559bf254dcc26ac2a36ae27b4aa5a3becf987c
SHA256: 00dd9c8fc139b9d1a61c99cbe9b07083ed6cca3a0c81a4750386c76774460372
SHA512: d7c4e9f95e46068d662905b07d3ba4a57d816e93bcba2cda2e259d1a7c131a79
7cc91f9b7dd64aec7fafc2d7ae6d8e85c702404db4e4b4f6f59367481ae1cc26
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x410910
timedatestamp.....: 0x3c6dbcfc (Sat Feb 16 01:59:24 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x5000 0x4c00 7.83 c7501f7674fe7c1709f47627fca15c54
UPX2 0x11000 0x1000 0x200 2.16 3bb88e3ce9a8a1dec0913cca304d67fc

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSVCRT.dll: exit
> USER32.dll: wsprintfA
> WS2_32.dll: -

( 0 exports )
packers (F-Prot): UPX
         

Anebi auch nochmal zur Sicherheit das HijackThis Logfile von diesem PC:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:12, on 19.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition premium\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Kornelia\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = XXXX//XXX.freemail.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office XP\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120235221781
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7595 bytes
         

EDIT:

Allerdings habe ich gerade einmal Malwarebytes durchlaufen lassen, das hat im Schnelltest bereits 20(!) Dateien gefunden. Bin gerade etwas baff - wie ernst ist die Lage?:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.21
Datenbank Version: 966
Windows 5.1.2600 Service Pack 2

12:04:28 19.07.2008
mbam-log-7-19-2008 (12-04-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58778
Laufzeit: 9 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{0000002f-0000-0000-c000-000000000046} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00020420-0000-0000-c000-000000000046} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00020421-0000-0000-c000-000000000046} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00020422-0000-0000-c000-000000000046} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00020423-0000-0000-c000-000000000046} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00020424-0000-0000-c000-000000000046} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00020425-0000-0000-c000-000000000046} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0be35203-8f91-11ce-9de3-00aa004bb851} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0be35204-8f91-11ce-9de3-00aa004bb851} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{46763ee0-cab2-11ce-8c20-00aa0051e5d4} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b196b286-bab4-101a-b69c-00aa00341d07} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b196b286-bab4-101a-b69c-00aa00341d07} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{df0b3d60-548f-101b-8e65-08002b2bd119} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{df0b3d60-548f-101b-8e65-08002b2bd119} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\System32\comdlg32.dll (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\System32\oleaut32.dll (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\System32 (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\System32\comdlg32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\oleaut32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\System47.exe (Trojan.FakeAlert) -> No action taken.
         

Also, neueste Entwicklung am Rechner:

MalwareBytes startet seit der Bereinigung der gefundenen Dateien nicht mehr.
Es erscheint ein Fenster mit der Überschrift "vbAccelerator SGrid II Control" und dem Inhalt Laufzeitfehler '0' und der Möglichkeit, auf OK zu klicken.

Macht man dies, erscheint ein weiteres Windows-Popup mit der Überschrift "MalwareBytes' Anti-Malware" und dem Inhalt "Laufzeitfehler '440': Automatisierungsfehler", und Malwarebytes startet nicht. Auch eine Neuinstallation (bei der das Problem während der Deinstallation und der Neuinstallation wieder auftrat), bringt keine Lösung - gerade eben hatte es aber doch noch anstandslos funktioniert!?

Hier noch das Log von NaviLog:

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.6.0 began on 19.07.2008 at 12:53:29,53

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Kornelia" 

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Kornelia\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\FS2004\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Herbert\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Kornelia\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\FS2004\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Herbert\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Kornelia\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\FS2004\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\Herbert\startm~1\progra~1" *** 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Kornelia\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\FS2004\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\Herbert\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Kornelia\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\FS2004\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\Herbert\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 19.07.2008 at 13:12:10,65 ***
         

Also, wenn es bei diesen Logs vom dem Rechner deinen Eltern handelt, rate ich dir Neuaufzusetzen.
Eine Bereinigung wär nur bedingt sinnvoll und würde bestimmt länger dauern, du kannst es dir (bzw. deine Eltern) aussuchen.
Allerdings, wenn diese PayPal, ebay oder Online Banking nutzen, wär Letzteres bestimmt besser.

mfg

Ok, danke für die Info.

Allerdings hat Malwarebytes (ich hab es dann doch wieder zum Laufen bekommen) im erneuten Durchlauf nichts mehr gefunden - ist denn bei dem geposteten Navilog Bericht irgendetwas auffällig?

Nein, das kannst du sogar selber rauslesen Wäre was gefunden worden, würde die betroffene Datei angezeigt und dahinter found! gestanden

mfg