Blauer Desktop mit Warnung, Smitfraud/Bankfraud

Hunter18180 · 21.07.2008, 20:23

Hi,

Hab mir heute oben beschriebene Dinger eingefangen...

Nun hab ich fast alles was sich im Forum hier so unter den Einträgen findet durchlaufen lassen.
Sieht primär auber aus. Um sicher zu gehen hier nochmal die Logfile von Hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:02, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Multimedia Mouse Driver\v5\KMWDSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gxqhmnyb\steluvsf.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Multimedia Mouse Driver\v5\StartAutorun.exe
C:\Programme\VDOTool\TBPANEL.exe
C:\Programme\Multimedia Mouse Driver\v5\KMConfig.exe
C:\Programme\Multimedia Mouse Driver\v5\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PC-Antispy Site Blocker Button - {60B244BE-559D-4269-B96E-CD264D828EC9} - C:\Programme\PC-Antispy\ASpyStBlk.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KMConfig] "C:\Programme\Multimedia Mouse Driver\v5\StartAutorun.exe" KMConfig.exe
O4 - HKLM\..\Run: [Gainward] C:\Programme\VDOTool\TBPANEL.exe /A
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorFX] "C:\Programme\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKLM\..\Policies\Explorer\Run: [1Fpr53w08L] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gxqhmnyb\steluvsf.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: .security
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: .security
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://w*w.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185258469093
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1216454707898&h=460a479197d12c4602412a7a0fecb9b9/&filename=jinstall-6u7-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4E765E1-F2D0-4664-B5BF-AC3B1BC813A6}: NameServer = 217.237.148.102 217.237.151.115
O21 - SSODL: ProcEn - {398321CA-9717-1D3E-EC33-077C90E5C2F2} - C:\Programme\cwawjjg\ProcEn.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRpc.exe (file missing)
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRT.exe (file missing)
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoTask.exe (file missing)
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Multimedia Mouse Driver\v5\KMWDSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11711 bytes

Greeds,
Hunter

PS: Ich bin mir SICHER Ihr findet da noch was......

Wie bekomme ich eigentlich das miese CA/eTrust Antivirus weg? HAb sogar die REgistry schon manuell gelöscht, aber jedesmal wenn ich ne Datei Rechtsklicke will der den Installationspfad von CA/eTrust suchen.... is echt nervig..

EDIT: Das CA/eTrust Problem hab ich gerade selbst behoben..... Da wollte sich der Dienst noch starten... geht ja aber nicht wenn keine Dateien mehr zum starten vorhanden sind

Seit nem halben JAhr ärgere ich mich nun schon damit rum.... manchmal hat so ein Trojaner auch was gutes... man Prüft sein System mal wieder auf Herz und Nieren^^

-SilverDragon- · 21.07.2008, 21:39

Hallo

Bitte folgende Dateien auf Virustotal auswerten lassen:

Code:

ATTFilter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gxqhmnyb\steluvsf.exe

C:\Programme\cwawjjg\ProcEn.dll

Ergebnisse von beiden Dateien bitte hier hin posten.

Danach einen Komplett-scan mit Malwarebytes machen und die Funde anschließend löschen lassen. Report hier in den Thread in [code]-tags posten.

Betreibst du online Banking?

MightyMarc · 21.07.2008, 21:45

Ist die Identität dieser Datei geklärt (kann zu Windows gehören, muss aber nicht)?

Code:

ATTFilter

C:\WINDOWS\System32\ups.exe

Hat der TO eine USV laufen?

%ComSpec%

-SilverDragon- · 21.07.2008, 21:53

Zitat:

Zitat von %ComSpec%

Ist die Identität dieser Datei geklärt (kann zu Windows gehören, muss aber nicht)?

Code:

ATTFilter

C:\WINDOWS\System32\ups.exe

Hat der TO eine USV laufen?

%ComSpec%

@Hunter: Lass diese Datei bitte auch auf Virustotal überprüfen und poste auch die md5 Summe.

-SilverDragon- · 21.07.2008, 23:46

Gib bitte den Pfad des Bankfraud-Fundes und das Programm, welches ihn fand an
Lass dein System außerdem mit blacklight auf Rootkits scannen. Poste das Ergebnis (link in meiner Signatur)
Was hast du bei Msconfig verändert/Deaktiviert?

Danke an Myrtille für die Hinweise

Hunter18180 · 22.07.2008, 00:05

@ Silverdragon: JA, ich betreibe Onlinebanking........ Es war eine Englische Windows Sicherheitswarnung... also kein Virenscan..... Könnte evtl. was mit Smitfraud zu tun haben um die Software zu kaufen. In den letzten Stunden keine Meldung mehr.

Aber seit der heutigen Infektion is da nix gelaufen...
Vorher war der PC auch sauber... hab mir das alles durch nen falschen Klick heute morgen eingefangen

Führe gerade die U.G. Schritte aus.. kann aber sein das ich das erst heute Abend poste.

UPS IST DRANN!!!!

Schonmal Danke,

Hunter

Hier schonmal das Ergebniss des Scans von C:\Programme\cwawjjg\ProcEn.dll:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 -
Authentium 5.1.0.4 2008.07.22 -
Avast 4.8.1195.0 2008.07.21 -
AVG 8.0.0.130 2008.07.21 Win32/Heur
BitDefender 7.2 2008.07.22 -
CAT-QuickHeal 9.50 2008.07.21 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 -
F-Prot 4.4.4.56 2008.07.21 -
F-Secure 7.60.13501.0 2008.07.21 -
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 -
Ikarus T3.1.1.34.0 2008.07.22 -
Kaspersky 7.0.0.125 2008.07.22 -
McAfee 5343 2008.07.21 -
Microsoft 1.3704 2008.07.22 -
NOD32v2 3285 2008.07.22 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.21 -
PCTools 4.4.2.0 2008.07.21 -
Prevx1 V2 2008.07.22 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.22 Mal/EncPk-DG
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.22 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 -
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 -
weitere Informationen
File size: 106496 bytes
MD5...: ab02758ba3534e015fcb092521f9b448
SHA1..: ccec8cf9b08acc13bcd59a6911b0f827657ff3e2
SHA256: bf0d0b87c6fe412fe22a482bc3df5eb45a13b1eae9bb605b857cd788dbb72f78
SHA512: 76ccc0ebbbeb89f54ce07e3ca4aa923e1a620f1e9651a8fc40b04a1e4df15a47
ceb4de139e51c5bbc6543dc413c643d697459be997456525879ba740635bcdd1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001278
timedatestamp.....: 0x48842664 (Mon Jul 21 06:02:12 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.zmuq 0x1000 0x14284 0x15000 6.75 2aef6b44e910be525736a7dea8e066f3
.agfcte 0x16000 0x7c1 0x1000 3.12 ccf82aa9f348e9f588d828511b0c8334
.nebngs 0x17000 0x1fcc 0x1000 0.63 88977e4625b053cc5661f7acdaa2ea99
.reloc 0x19000 0x194a 0x2000 6.01 716ff330b403f7ef58c853ab82f37d1e

( 4 imports )
> KERNEL32.dll: MulDiv, GetModuleFileNameW, VirtualFree, GlobalAlloc, CloseHandle, Sleep, FreeResource, GetProcAddress, GetModuleHandleW, GetFileAttributesExW, ReadProcessMemory, FindClose, MoveFileW, FindFirstFileW, GlobalAddAtomW, WaitForSingleObject, SetWaitableTimer, GetTickCount, VirtualAlloc, GetSystemTime, FindFirstChangeNotificationW, GetFileSize, LoadLibraryA, FindNextChangeNotification, LoadLibraryW
> USER32.dll: WindowFromPoint, MessageBoxW, RegisterWindowMessageW, SetWindowTextW, SetCursorPos, GetDlgItem, LoadIconW, CreateWindowExW, DialogBoxParamW, GetSysColor, PostMessageW, UpdateWindow, GetMessageW, VkKeyScanW, DestroyIcon, DestroyMenu, TranslateMessage, LoadImageW, wsprintfW, SendDlgItemMessageW, SystemParametersInfoW, PostQuitMessage, SetLayeredWindowAttributes, IsDlgButtonChecked
> GDI32.dll: DPtoLP, CreatePen, DeleteDC, GetObjectW, CreateCompatibleDC, SetTextColor, CreateSolidBrush, SetBkColor
> ADVAPI32.dll: StartServiceW, LookupPrivilegeValueW, InitializeSecurityDescriptor, GetUserNameW, RegCreateKeyExW, RegSetValueExW, LookupAccountSidW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Hunter18180 · 22.07.2008, 00:14

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gxqhmnyb\steluvsf.exe
habe ich auch mit der Suche nicht mehr gefunden.... habe vorhin nochmal den Scan drüberlaufen lassen.. vielleicht hats was geholfen

Hier die UPS.exe (primär keine Funde):

AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 -
Authentium 5.1.0.4 2008.07.22 -
Avast 4.8.1195.0 2008.07.21 -
AVG 8.0.0.130 2008.07.21 -
BitDefender 7.2 2008.07.22 -
CAT-QuickHeal 9.50 2008.07.21 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 -
F-Prot 4.4.4.56 2008.07.21 -
F-Secure 7.60.13501.0 2008.07.21 -
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 -
Ikarus T3.1.1.34.0 2008.07.22 -
Kaspersky 7.0.0.125 2008.07.22 -
McAfee 5343 2008.07.21 -
Microsoft 1.3704 2008.07.22 -
NOD32v2 3285 2008.07.22 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.21 -
PCTools 4.4.2.0 2008.07.21 -
Prevx1 V2 2008.07.22 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.22 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.22 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 -
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 -
weitere Informationen
File size: 18432 bytes
MD5...: a99f867e76cfdaa28ee305b93f70e84f
SHA1..: 84d783c1608850f01da61bb375b381b43c81f261
SHA256: 410063ee60ae2322633a3e1169896405d6892a1623ef4e89113a0a6f8a191991
SHA512: 27fe76f74ee1ec17a03b35bb42cb35d5b35f7added3a79a5bae626daa91d959b
833b27ceb6423051d074d985aa846f16a8c6ade241ee3162686a5cf63830021b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1003eb0
timedatestamp.....: 0x41107bab (Wed Aug 04 06:01:15 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x386e 0x3a00 5.92 a036ffae10f58da9e86d584f7aca9532
.data 0x5000 0x668 0x600 2.74 03da08456d5d77a031b50ac1029e9702
.rsrc 0x6000 0x3d0 0x400 3.29 c6495a0113e768c3121f3664b27022bc

( 7 imports )
> msvcrt.dll: __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _except_handler3, __p__fmode, _XcptFilter, _exit, _c_exit, wcscat, wcscpy, _controlfp, _cexit, __set_app_type, exit, wcslen
> ADVAPI32.dll: RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, RegisterEventSourceW, ReportEventW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegDeleteKeyW
> KERNEL32.dll: FormatMessageW, LocalFree, GetComputerNameW, GetCurrentProcess, CreateThread, ExitProcess, Sleep, LocalAlloc, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, ResetEvent, FreeLibrary, CreateProcessW, GetStartupInfoW, GetLastError, GetProcAddress, LoadLibraryW, EscapeCommFunction, WaitForSingleObject, SetEvent, CreateFileW, CloseHandle, GetCommModemStatus, WaitForMultipleObjects, WaitCommEvent, CreateEventW, SetCommMask
> NETAPI32.dll: NetMessageBufferSend
> USER32.dll: ExitWindowsEx
> POWRPROF.dll: SetSuspendState, IsPwrHibernateAllowed, GetPwrCapabilities
> ole32.dll: CoCreateInstance, CoInitialize, CoUninitialize

( 0 exports )

Hunter18180 · 22.07.2008, 00:40

Zitat:

Zitat von -SilverDragon-

Was hast du bei Msconfig verändert/Deaktiviert?

Hier mal 3 Screens der aktivierten und deaktivierten Einträge:

PS: Blacklight hat nix gefunden.

Hunter18180 · 22.07.2008, 01:16

Hier der Bericht der Malwarebytes:
Alles gefundene gelöscht... Waren auch Daten dabei welche ich schon vorher vermeindlich gelöscht hatte......Interessant.....
Ich denke auch das dieses besagte PC-Antispy das Programm war welches mir die Trojanermeldungen via Windows gesendet hat....

So, nun geh ich aber erstmal schlafen^^ Hoffe morgen mehr Erkenntnisse zu erhalten/liefern.

Vielen Dank bisher.

PHP-Code:

  Malwarebytes' Anti-Malware 1.22

Datenbank Version: 977

Windows 5.1.2600 Service Pack 2

 
02:12:39 22.07.2008

mbam-log-7-22-2008 (02-12-39).txt

 
Scan-Methode: Quick-Scan

Durchsuchte Objekte: 45739

Laufzeit: 5 minute(s), 54 second(s)

 
Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 8

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 7

Infizierte Dateien: 7

 
Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{60b244be-559d-4269-b96e-cd264d828ec9} (Rogue.PCAntispy) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60b244be-559d-4269-b96e-cd264d828ec9} (Rogue.PCAntispy) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

 
Infizierte Registrierungswerte:

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

 
Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 
Infizierte Verzeichnisse:

C:\Programme\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PC-Antispy\logs (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PC-Antispy\startup (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\PC-Antispy\logs (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\PC-Antispy\startup (Rogue.PCAntispy) -> Quarantined and deleted successfully.

 
Infizierte Dateien:

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PC-Antispy\config.xml (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PC-Antispy\Sites.bl (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\PC-Antispy\Sites.bl (Rogue.PCAntispy) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\blphc7lvj0eef9.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\phc7lvj0eef9.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

-SilverDragon- · 22.07.2008, 11:24

Mach nun noch einen Scan mit SUPERAntiSpyware und poste davon das Logfile.
Außerdem suche unter Systemsteuerung/Software nach "PCAntispy" und deinstallier es.

Hunter18180 · 22.07.2008, 13:30

Bin gerade auf Arbeit... der letzte Post von mir heute morgen besagte ja das fast alles gut se

Nun schalte ich die Kiste heute morgen wieder ein und der gleiche Mist wieder....

Denke das liegt an besagtem PC-Antispy.

Ich mach heute Abend das ganze Prozedere eben nochmal... poste dann hier später noch das LOG von Superantispyware.

Danke erstmal....

Blauer Desktop mit Warnung, Smitfraud/Bankfraud

Log-Analyse und Auswertung: Blauer Desktop mit Warnung, Smitfraud/Bankfraud