msacm32.drv ist ein Trojaner

ballz · 23.12.2008, 14:54

Hallo

hab seit dem neusten AntiVir-update die Virus-meldung "D:\WINDOWS\msacm32.drv" Ist das Trojanische Pferd "TR/PSW.Yaludle.A"

Hab über google gefunden, dass es was mit Online-Banking-spionage zutun hat. Ich persönlich hab aber mit Online-Banking nichts am hut, also dürfte es nicht weiter schlimm sein, doch dass alle 15 s die viren-meldung auftaucht ist wirklich nervig. außerdem sind viren aufm pc scheiße ^^

Hier mal meine Log-files:

Hijack This

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:30, on 23.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\a-squared Anti-Malware\a2service.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\WINDOWS\System32\alg.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Programme\Valve\Steam\steam.exe
D:\Programme\VideoLAN\VLC\vlc.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - D:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - D:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - D:\Programme\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - D:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [a-squared] "D:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Bulk I&mage Downloader: Öffne aktuelle Seite - file://D:\Programme\Bulk Image Downloader\iemenu\iebid.htm
O8 - Extra context menu item: Bulk Ima&ge Downloader: Link in Queue einreihen - file://D:\Programme\Bulk Image Downloader\iemenu\iebidlinkqueue.htm
O8 - Extra context menu item: Bulk Image Downloader: Seite in &Queue einreihen - file://D:\Programme\Bulk Image Downloader\iemenu\iebidqueue.htm
O8 - Extra context menu item: Bulk Image Downloader: Öffne diesen &Link - file://D:\Programme\Bulk Image Downloader\iemenu\iebidlink.htm
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4102417-BF31-4CD3-9E50-4E356A6AACAF}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - D:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - D:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - D:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe

--
End of file - 9497 bytes

AntiMalware

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1419
Windows 5.1.2600 Service Pack 3

23.12.2008 14:18:13
mbam-log-2008-12-23 (14-18-13).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 53097
Laufzeit: 3 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.

Blacklight

Code:

ATTFilter

12/23/08 14:35:00 [Info]: BlackLight Engine 2.2.1092 initialized
12/23/08 14:35:00 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/23/08 14:35:00 [Note]: 7019 4
12/23/08 14:35:00 [Note]: 7005 0
12/23/08 14:35:07 [Note]: 7006 0
12/23/08 14:35:07 [Note]: 7011 1412
12/23/08 14:35:07 [Note]: 7035 0
12/23/08 14:35:07 [Note]: 7026 0
12/23/08 14:35:07 [Note]: 7026 0
12/23/08 14:35:09 [Note]: FSRAW library version 1.7.1024
12/23/08 14:41:15 [Info]: Hidden file: d:\WINDOWS\system32\c_889091.nls
12/23/08 14:41:15 [Note]: 10002 2
12/23/08 14:42:05 [Note]: 2000 1012
12/23/08 14:42:05 [Note]: 2000 1012
12/23/08 14:42:05 [Note]: 2000 1012
12/23/08 14:42:49 [Note]: 7007 0

ballz · 23.12.2008, 14:58

Silentrunner

log-datei

Ich hoffe jmd. kann was damit anfangen

MfG
ballz

Tayk · 23.12.2008, 15:10

Führe mit Malwarebytes einen Fullscan durch und keinen Quick scan!

Danach scannst du nach rootkits!

Deaktiviere/Schliese Während des Rootkitscanns alle Virenscanner und programme!
Poste die logs auch wenn deiner Ansichtnach nichts gefunden wurde!
Poste Alle Berichte bzw. Logs in einem Code (das # Symbol klicken nicht auf der tastatur!)

1.MBR Scannen lassen
Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier, die log datei liegt im gleichen ordner in dem du die mbr.exe gepeichert hast!

2.Gmer scannen lassen
Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

3.Catchme

* Lade Catchme auf das Desktop.

* Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.

* Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.

* Das Log ist in catchme.log, füge es vollständig in deine Antwort ein. Bitte wieder in einem Code!

23.12.2008, 15:15

*hust* c_889091.nls, Silentbanker *hust*

ballz · 23.12.2008, 15:23

wäre nett, wenn du das *hust* erläutern könntest, bzw. wie ich ihn wegkrieg diesen Silentbanker

23.12.2008, 17:56

Neuaufsetzen.
Und nein es gibt keine, wirklich keine andere Möglichkeit.

Corrino07 · 07.05.2009, 20:53

ach verdammte Axt, wieder mal falsch gepostet.

Hier habe ich eine Umgehungslösung für das *.drv Problem mal hinterlassen, bis ich eine saubere Lösung habe sollte diese erst mal reichen.

http://www.trojaner-board.de/62345-tr-silentbanker-g-von-av-gefunden-2.html

ich bin aber weiterhin am Thema dranne.

MfG, Corrino07

23.12.2008, 15:15	#4
-SkY- Gast	msacm32.drv ist ein Trojaner hust c_889091.nls, Silentbanker hust

23.12.2008, 17:56	#6
-SkY- Gast	msacm32.drv ist ein Trojaner Neuaufsetzen. Und nein es gibt keine, wirklich keine andere Möglichkeit.

msacm32.drv ist ein Trojaner

Log-Analyse und Auswertung: msacm32.drv ist ein Trojaner