Firefox öffnet ständig neue Fenster

Doktor Oktor · 24.10.2008, 08:56

Guten Morgen alle zusammen,

ich bin neu hier und bitte mir eventuell fehlende Angaben nachzusehen.
Ich hab mir gestern den Trojaner Trenderdia eingefangen und nach der Anleitung unter h##p://w+w.precisesecurity.com/blogs/2008/10/22/trenderdia/ entfernt. Seit ich den Trojaner drauf hatte öffnet Firefox nach Lust und Laune neue Fenster mit Werbung...
Ich hab mich schon hier im Forum umgesehen und einiges dazu gelesen, bin mir aber nie ganz sicher gewesen ob das denn auf mein System zutrifft. Daher hab ich mal HJT durchlaufen lassen und werd das hier posten. Ich wäre sehr dankbar wenn mir einer helfen kann. Hab keine Lust schon wieder den Rechner neu aufzusetzen, hab grade vor nem Monat erst Vista installiert.

Also, hier der HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:31:18, on 24.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\CtHelper.exe
C:\Program Files\Creative\SBLive2k\Program\CTAvtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Users\Onkel Wurstbrot\AppData\Local\fkvhse.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h##p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h##p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h##p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h##p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h##p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 125.67.67.197 w#w.yahoo.com
O1 - Hosts: 125.67.67.197 w#w.google.com
O1 - Hosts: 125.67.67.197 w#w.myspace.com
O1 - Hosts: 125.67.67.197 w#w.youtube.com
O1 - Hosts: 125.67.67.197 w#w.facebook.com
O1 - Hosts: 125.67.67.197 w#w.live.com
O1 - Hosts: 125.67.67.197 w#w.msn.com
O1 - Hosts: 125.67.67.197 w#w.wikipedia.org
O1 - Hosts: 125.67.67.197 w#w.ebay.com
O1 - Hosts: 125.67.67.197 w#w.aol.com
O1 - Hosts: 125.67.67.197 w#w.craigslist.org
O1 - Hosts: 125.67.67.197 w#w.blogger.com
O1 - Hosts: 125.67.67.197 w#w.go.com
O1 - Hosts: 125.67.67.197 w#w.amazon.com
O1 - Hosts: 125.67.67.197 w#w.cnn.com
O1 - Hosts: 125.67.67.197 espn.go.com
O1 - Hosts: 125.67.67.197 w#w.espn.com
O1 - Hosts: 125.67.67.197 w#w.photobucket.com
O1 - Hosts: 125.67.67.197 w#w.comcast.net
O1 - Hosts: 125.67.67.197 w#w.imdb.com
O1 - Hosts: 125.67.67.197 w#w.wordpress.com
O1 - Hosts: 125.67.67.197 w#w.nytimes.com
O1 - Hosts: 125.67.67.197 w#w.weather.com
O1 - Hosts: 125.67.67.197 w#w.ask.com
O1 - Hosts: 125.67.67.197 w#w.aim.com
O1 - Hosts: 125.67.67.197 w#w.apple.com
O1 - Hosts: 125.67.67.197 w#w.mapquest.com
O1 - Hosts: 125.67.67.197 w#w.youporn.com
O1 - Hosts: 125.67.67.197 w#w.fastclick.com
O1 - Hosts: 125.67.67.197 w#w.pornhub.com
O1 - Hosts: 125.67.67.197 w#w.rapidshare.com
O1 - Hosts: 125.67.67.197 w#w.pogo.com
O1 - Hosts: 125.67.67.197 w#w.redtube.com
O1 - Hosts: 125.67.67.197 w#w.doubleclick.com
O1 - Hosts: 125.67.67.197 w#w.att.com
O1 - Hosts: 125.67.67.197 w#w.adobe.com
O1 - Hosts: 125.67.67.197 w#w.vnn.com
O1 - Hosts: 125.67.67.197 w#w.sportsline.com
O1 - Hosts: 125.67.67.197 w#w.netflix.com
O1 - Hosts: 125.67.67.197 w#w.dell.com
O1 - Hosts: 125.67.67.197 w#w.google.co.uk
O1 - Hosts: 125.67.67.197 w#w.bbc.co.uk
O1 - Hosts: 125.67.67.197 w#w.ebay.co.uk
O1 - Hosts: 125.67.67.197 w#w.bebo.com
O1 - Hosts: 125.67.67.197 w#w.amazon.co.uk
O1 - Hosts: 125.67.67.197 w#w.sky.com
O1 - Hosts: 125.67.67.197 w#w.virginmedia.com
O1 - Hosts: 125.67.67.197 w#w.aol.co.uk
O1 - Hosts: 125.67.67.197 w#w.hsbc.co.uk
O1 - Hosts: 125.67.67.197 w#w.antispyware.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [razertra] C:\Program Files\Razer\razertra.exe
O4 - HKLM\..\Run: [UpdReg] C:\Windows\Updreg.exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Program Files\Creative\SBLive2k\Program\CTAvtray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTZDetec.exe] "C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [fkvhse] "c:\users\onkel wurstbrot\appdata\local\fkvhse.exe" fkvhse
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')
O13 - Gopher Prefix:
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h##p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h##p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

--
End of file - 7880 bytes

Schon mal Danke! im vorraus für die Hilfe.

Doktor Oktor · 24.10.2008, 09:24

Kleiner Nachtrag, ich bekomme grade von Antivir die Nachricht das ich den Trjaner TR/Droppper.Gen auf dem Rechner hab in der Datei: C:\Users\***\AppData\Local\fkvhse.de
Vielleicht hilft das bei der Lösung... Werd mich mal nach dem im Netz umsehen.

Chris4You · 24.10.2008, 09:25

Hi,

editiere mal zackig Dein HJ-Log wie es dir u.a. hier angezeigt wird!:
Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958)

Sonst gibt's lauf Boardregeln keine Hilfe!

chris

Chris4You · 24.10.2008, 09:28

Hi,

schöne Grüße aus China:
netname: CHINANET-SC
descr: CHINANET Sichuan province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

c:\users\onkel wurstbrot\appdata\local\fkvhse.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls es erkannt wurde, hier weiter... sonst mit HJ weiter!
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
c:\users\onkel wurstbrot\appdata\local\fkvhse.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKCU\..\Run: [fkvhse] "c:\users\onkel wurstbrot\appdata\local\fkvhse.exe" fkvhse
O1 - Hosts: 125.67.67.197 www.yahoo.com
O1 - Hosts: 125.67.67.197 www.google.com
O1 - Hosts: 125.67.67.197 www.myspace.com
O1 - Hosts: 125.67.67.197 www.youtube.com
O1 - Hosts: 125.67.67.197 www.facebook.com
O1 - Hosts: 125.67.67.197 www.live.com
O1 - Hosts: 125.67.67.197 www.msn.com
O1 - Hosts: 125.67.67.197 www.wikipedia.org
O1 - Hosts: 125.67.67.197 www.ebay.com
O1 - Hosts: 125.67.67.197 www.aol.com
O1 - Hosts: 125.67.67.197 www.craigslist.org
O1 - Hosts: 125.67.67.197 www.blogger.com
O1 - Hosts: 125.67.67.197 www.go.com
O1 - Hosts: 125.67.67.197 www.amazon.com
O1 - Hosts: 125.67.67.197 www.cnn.com
O1 - Hosts: 125.67.67.197 espn.go.com
O1 - Hosts: 125.67.67.197 www.espn.com
O1 - Hosts: 125.67.67.197 www.photobucket.com
O1 - Hosts: 125.67.67.197 www.comcast.net
O1 - Hosts: 125.67.67.197 www.imdb.com
O1 - Hosts: 125.67.67.197 www.wordpress.com
O1 - Hosts: 125.67.67.197 www.nytimes.com
O1 - Hosts: 125.67.67.197 www.weather.com
O1 - Hosts: 125.67.67.197 www.ask.com
O1 - Hosts: 125.67.67.197 www.aim.com
O1 - Hosts: 125.67.67.197 www.apple.com
O1 - Hosts: 125.67.67.197 www.mapquest.com
O1 - Hosts: 125.67.67.197 www.youporn.com
O1 - Hosts: 125.67.67.197 www.fastclick.com
O1 - Hosts: 125.67.67.197 www.pornhub.com
O1 - Hosts: 125.67.67.197 www.rapidshare.com
O1 - Hosts: 125.67.67.197 www.pogo.com
O1 - Hosts: 125.67.67.197 www.redtube.com
O1 - Hosts: 125.67.67.197 www.doubleclick.com
O1 - Hosts: 125.67.67.197 www.att.com
O1 - Hosts: 125.67.67.197 www.adobe.com
O1 - Hosts: 125.67.67.197 www.vnn.com
O1 - Hosts: 125.67.67.197 www.sportsline.com
O1 - Hosts: 125.67.67.197 www.netflix.com
O1 - Hosts: 125.67.67.197 www.dell.com
O1 - Hosts: 125.67.67.197 www.google.co.uk
O1 - Hosts: 125.67.67.197 www.bbc.co.uk
O1 - Hosts: 125.67.67.197 www.ebay.co.uk
O1 - Hosts: 125.67.67.197 www.bebo.com
O1 - Hosts: 125.67.67.197 www.amazon.co.uk
O1 - Hosts: 125.67.67.197 www.sky.com
O1 - Hosts: 125.67.67.197 www.virginmedia.com
O1 - Hosts: 125.67.67.197 www.aol.co.uk
O1 - Hosts: 125.67.67.197 www.hsbc.co.uk
O1 - Hosts: 125.67.67.197 www.antispyware.com

Bitte Hostsfile posten (wo das auch immer unter Vista liegt), bei XP:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

MAM:
Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles beseitigen lassen!

Chris

Doktor Oktor · 24.10.2008, 10:03

Danke schon mal für die Anleitung, werds mal versuchen.

Doktor Oktor · 24.10.2008, 11:33

So, das hab ich jetzt von VirusTotal erhalten:

Die Datei wurde bereits analysiert:
MD5: d9b0c423fff1560b18255e7cfd03a99b
First received: 2008.10.24 11:33:13 (CET)
Datum 2008.10.24 11:33:13 (CET) [<1D]
Ergebnisse 2/36
Permalink: analisis/4c2e2abae3ab9cbeafe8b72781476ed8

Datei fkvhse.exe empfangen 2008.10.24 11:33:13 (CET)
Status: Beendet
Ergebnis: 2/36 (5.56%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Dropper.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - Trojan.Dropper.Gen
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
weitere Informationen
MD5: d9b0c423fff1560b18255e7cfd03a99b
SHA1: 7debeb99ec18da987dec6413f2f903bf681382ad
SHA256: 5af41320b34d952b27aad67cdca0aafb5dda45744ab336d16f593c15c4bd5713
SHA512: b719afab457cb4768c207a945285a660c4707309f4567aa0b4da0f89dc2f98cc987fa04a5196b5103e998321355608c3d60af9eecc42726505cd100cb851f364

Datei fkvhse.exe empfangen 2008.10.24 12:21:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/36 (5.56%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.24.3 2008.10.24 -
AntiVir 7.9.0.7 2008.10.24 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.24 -
Avast 4.8.1248.0 2008.10.24 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.24 -
CAT-QuickHeal 9.50 2008.10.24 -
ClamAV 0.93.1 2008.10.24 -
DrWeb 4.44.0.09170 2008.10.24 -
eSafe 7.0.17.0 2008.10.23 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.23 -
F-Prot 4.4.4.56 2008.10.24 -
F-Secure 8.0.14332.0 2008.10.24 -
Fortinet 3.113.0.0 2008.10.24 -
GData 19 2008.10.24 -
Ikarus T3.1.1.44.0 2008.10.24 -
K7AntiVirus 7.10.505 2008.10.23 -
Kaspersky 7.0.0.125 2008.10.24 -
McAfee 5414 2008.10.24 -
Microsoft 1.4005 2008.10.24 -
NOD32 3550 2008.10.23 -
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.23 -
Prevx1 V2 2008.10.24 -
Rising 21.00.42.00 2008.10.24 -
SecureWeb-Gateway 6.7.6 2008.10.24 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.24 -
Sunbelt 3.1.1749.1 2008.10.23 -
Symantec 10 2008.10.24 -
TheHacker 6.3.1.0.126 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.24 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.24.1436 2008.10.24 -
VirusBuster 4.5.11.0 2008.10.23 -
weitere Informationen
File size: 286720 bytes
MD5...: d9b0c423fff1560b18255e7cfd03a99b
SHA1..: 7debeb99ec18da987dec6413f2f903bf681382ad
SHA256: 5af41320b34d952b27aad67cdca0aafb5dda45744ab336d16f593c15c4bd5713
SHA512: b719afab457cb4768c207a945285a660c4707309f4567aa0b4da0f89dc2f98cc
987fa04a5196b5103e998321355608c3d60af9eecc42726505cd100cb851f364
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402c30
timedatestamp.....: 0x43067ad7 (Sat Aug 20 00:35:35 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20b0 0x2200 6.27 0a8f4f7af8843291c5b2a68d81dcebed
.rdata 0x4000 0x12ac 0x1400 5.05 2f01028c5122e10fabfee4440de78f27
.data 0x6000 0x42422 0x42600 7.38 6d980d85d1c59915b674d381dba12ab3

( 7 imports )
> KERNEL32.dll: GenerateConsoleCtrlEvent, EnumCalendarInfoW, VirtualFree, GlobalAddAtomA, PrepareTape, ConnectNamedPipe, VirtualQueryEx, EnumResourceLanguagesW, GetModuleFileNameW, SetEvent, WritePrivateProfileStructA, lstrcpyA, EnumResourceNamesA, LoadLibraryExA, SetEnvironmentVariableA, CloseHandle, ReadConsoleA, FreeEnvironmentStringsA, GetLogicalDriveStringsA, SetTimeZoneInformation, GetTapeParameters, DebugBreak, FreeLibraryAndExitThread, OpenMutexA, GetProcessHeap, ExpandEnvironmentStringsW, GetCompressedFileSizeW, EnumDateFormatsW, CancelIo, SetFileAttributesA, TryEnterCriticalSection, GetFileAttributesExA, DeleteFiber, VirtualUnlock, GetUserDefaultLangID, SetConsoleTitleA, SetErrorMode, SetCurrentDirectoryA, PeekNamedPipe, CreateMutexA, GetComputerNameW, SetCommMask, LCMapStringA, OutputDebugStringA, GetTapeStatus, FindCloseChangeNotification, SetEnvironmentVariableW, GlobalFindAtomA, LocalSize, FileTimeToLocalFileTime, SetupComm, SetThreadAffinityMask, GetBinaryTypeA, WritePrivateProfileSectionA, TlsGetValue, SetConsoleMode, GetOEMCP, SetHandleCount, GetNumberFormatW, VirtualProtect, CreateMutexW, GetCommandLineA, lstrlenA, VirtualAlloc, CreateFileW, ExitProcess
> USER32.dll: ChangeMenuW, CharUpperA, OemToCharBuffA, LoadCursorW, CharUpperW, RegisterWindowMessageW, SetRectEmpty, FindWindowExW, OpenInputDesktop, CreateIcon, mouse_event, GetMenuStringW, OemToCharBuffW, DrawTextW, DefMDIChildProcW, CloseWindowStation, SetWindowWord, InvalidateRgn, CheckDlgButton, GetMenuItemRect, CopyAcceleratorTableW, DrawTextA, OpenWindowStationW, EnumWindowStationsW, AdjustWindowRect, SwitchToThisWindow, RemoveMenu, CreateDesktopA, GetAncestor, GetClipboardFormatNameA, ExcludeUpdateRgn, CreateMenu, GetCursorPos, LoadImageW, RegisterWindowMessageA, GetSystemMetrics, ChangeDisplaySettingsA, GetTitleBarInfo, InsertMenuA, CharLowerBuffA, EnumClipboardFormats, OpenClipboard, GetClassInfoExW, CreateDialogIndirectParamA, CreateDialogParamA, GetIconInfo, LoadKeyboardLayoutA, CharLowerBuffW, SendDlgItemMessageW, ShowOwnedPopups
> GDI32.dll: GetBitmapBits, EndPath, OffsetViewportOrgEx, SetBitmapBits, RemoveFontResourceA, EndPage, EnumMetaFile, CreatePen
> comdlg32.dll: CommDlgExtendedError, ChooseFontA
> ADVAPI32.dll: SetServiceStatus, InitiateSystemShutdownA, RegSetValueExW, CryptGetProvParam, GetNamedSecurityInfoW, ChangeServiceConfigA, DeleteService, AllocateLocallyUniqueId, StartServiceW, OpenServiceA, CryptVerifySignatureW, AdjustTokenPrivileges, OpenProcessToken, RegSetValueExA, RegQueryValueW, BuildTrusteeWithSidW, DuplicateTokenEx, LogonUserA, ReportEventA, DeregisterEventSource, EnumDependentServicesW, AllocateAndInitializeSid, NotifyBootConfigStatus, ChangeServiceConfigW, GetSidLengthRequired, DestroyPrivateObjectSecurity, RegConnectRegistryW, AccessCheckAndAuditAlarmA, CryptImportKey, GetPrivateObjectSecurity, SetSecurityDescriptorGroup, RegUnLoadKeyW, DeleteAce, RegSaveKeyA, RegOpenKeyA
> SHELL32.dll: SHChangeNotify, SHBrowseForFolderA
> OLEAUT32.dll: -, -

( 0 exports )

Doktor Oktor · 24.10.2008, 11:41

avenger.txt

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\users\onkel wurstbrot\appdata\local\fkvhse.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Firefox öffnet ständig neue Fenster

Log-Analyse und Auswertung: Firefox öffnet ständig neue Fenster