Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ?

Yatsu · 09.01.2009, 16:54

Hallo.

Vorweg: Ich benutze Windows XP (SP2), Firefox 3.0.5 und AntiVir.

Ich habe mir einen Trojaner gefangen, indem ich eine fragwürdige .exe-Datei aus dem Netz gezogen habe und darauf gesetzt habe, dass AntiVir die Datei nichts machen lässt, wenn sie etwas versuchen sollte, das ich nicht will. Leider war das eine Fehlentscheidung.
Zwar habe ich eine Meldung von AntiVir erhalten, dass die Datei den Trojaner BDS/Prorat.crh enthält, aber direkt nachdem sie vollständig geladen war, ist die Datei verschwunden. In der Quarantäne von AntiVir ist nichts und im Zielordner ebenfalls nicht.

Die Logfileauswertung von HijackThis blieb ergebnislos:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:10:15, on 09.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Imgtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ImgTask] C:\WINDOWS\Imgtask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O15 - Trusted Zone: *.rapidshare.com
O15 - Trusted Zone: *.rapidshare.de
O15 - Trusted Zone: *.utorrent.com
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

In einem anderen Thread hier wurde bei einem BDS/Prorat Trojaner eScan empfohlen.
Anschließend habe ich also im Abgesicherten Modus eScan über mein System laufen lassen, das "Midnight Oil Spyware/Adware" gefunden hat:

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2008.03.07 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal 
  
eScan Version: 10.0.60 
Sprache: German 
C:\DOKUME~1\MeinUserName\LOKALE~1\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
Datei D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041206.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
Datei D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041247.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 
~~~~~~~~~~~ 
Scannen Spyware: Aktiviert 
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** 
Indexed Spyware Databases Successfully Created... 
Objekt "Midnight Oil Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
Offending Key found: HKCU\Software\Midnight Oil !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
laufende Prozesse - commandline 
~~~~~~~~~~~~~~~~~~~~~~ 
System Idle Process - 
System - 
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - 
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe - 
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
explorer.exe - C:\WINDOWS\Explorer.EXE
mexe.com - "C:\DOKUME~1\MeinUserName\LOKALE~1\Temp\mexe.com" 
ScanningProcess.exe - 
cmd.exe - cmd /c ""D:\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo 
wmiprvse.exe - 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
ERROR!!! Invalid Entry %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe in HKLM\SYSTEM\CurrentControlSet\Services\aspnet_state. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\E:\INSTALL\GMSIPCI.SYS in HKLM\SYSTEM\CurrentControlSet\Services\GMSIPCI. Action Taken: No Action Taken. 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.2.0.240\QuickTime.msi 
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad.zip: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad.zip 
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad1.zip: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad1.zip 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\ntuser.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\pagefile.sys 
ERROR(3)!!! ScanFile fails for C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCVBA10.CHM 
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_02\lib\rt.jar 
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\ACMAIN10.CHM 
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAAC10.CHM 
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAWD10.CHM 
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAXL10.CHM 
ERROR(3)!!! ScanFile fails for C:\Programme\MSECache\PPTViewer\ppviewer.cab 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\embxnfj7.zip 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\h75rv575.zip 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\driver.cab 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\sp2.cab 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\sp2.cab 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\dllcache\tourW.exe 
ERROR(3)!!! ScanFile fails for D:\mwav.exe 
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041244.exe 
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041245.exe 
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041246.exe 
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{B5161474-1564-4673-97F0-17BD929FAE40}\RP468\A0313156.exe 
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{B5161474-1564-4673-97F0-17BD929FAE40}\RP485\A0324107.exe 
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{D2E1E55E-1F90-4528-9D4A-481314B341FD}\RP158\A0033239.exe 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1       localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Zahl der gescannten Objekte: 465191 
Zahl der kritischen Objekte: 11 
Zahl der desinfizierten Objekte: 0 
Zahl der umbenannten Objekte: 0 
Zahl der gelöschten Objekte: 0 
Zeit verstrichen: 05:25:11 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Speicherüberprüfung: Aktiviert 
Überprüfung der Registrierungsdatenbank: Aktiviert 
Überprüfung des Startordners: Aktiviert 
Überprüfung des Systemordners: Aktiviert 
Überprüfung der Dienste: Aktiviert 
Überprüfung der Laufwerke: Deaktiviert 
Überprüfung aller Laufwerke:Aktiviert 
Die Überprüfung der Ordner: Deaktiviert 
 
Batchstart: 15:53:37,28 
Batchende: 15:54:44,81

Habe ich jetzt
A) beide Schädlinge,
B) ist beides der selbe Schädling oder
C) hat AntiVir "BDS/Prorat.crh" nebenbei entfernt und ich habe "Midnight Oil Spyware/Adware" nur zufällig entdeckt?

Seit der Fehlermeldung habe ich mich außer auf meinem PC und diesem Forum nirgendwo mehr eingeloggt. Das System neu aufzusetzen möchte ich erst als letzte aller Möglichkeiten in betracht ziehen...
Wie gehe ich jetzt weiter vor?

Vielen Dank im Vorraus.

Yatsu · 10.01.2009, 08:31

Anmerkung zum ersten Post: Ich habe die oben beschriebene fragwürdige .exe-Datei weder ausgeführt, noch markiert, noch ein MouseOver gemacht. Sie war da. Ich bekam eine Warnung über eine Bedrohung und babe den Zugriff verweigert. Als ich das Fenster mit der Warnung mit "Zugriff verweigern" beantwortet hatte und den Blick wieder dem Ordnerinhalt zuwendete war die Datei nicht mehr da.
Direkt danach habe ich den Cache meines Browsers geleert und einen ergebnislos mit AntiVir die Aktiven Prozesse und nach Rootkits gescannt.

Inzwischen habe ich einen Guide zum Entfernen von Midnight Oil gefunden, konnte aber weder einen der genannten Registry-Einträge noch eine der Dateien finden. In der Registry konnte ich einen einzigen Schlüssel mit Namen "Midnight Oil" finden und habe ihn gelöscht - allerdings kam der nicht in oben genanntem Guide vor.

Wegen mehrerer Hinweise vom scan mit eScan, ich hätte verwaiste
habe ich den Registry Cleaner von TuneUp Utilities durchlaufen lassen. Dabei hatte ich die Hoffnung, daß es sich bei der Ursache für die Midnight Oil-Meldung, nur um einen verwaisten Registry-Eintrag gehandelt hat.
Ein erneutes scannen mit eScan brachte keinen Fund von Midnight Oil mehr.

Ich weis, daß das nicht beim eigentlichen Problem hilft: Die Datei, die offenbar BDS/Prorat.crh beinhaltet hat und gleich nach dem Download verschwunden ist.
Wurde sie jetzt von AntiVir ohne viel Federlesen und ohne Meldung an mich gelöscht, oder hat sich der Trojaner irgendwie gleich nach der Ankunft auf meinem System eingenistet?
Inzwischen wären mir auch Spekulationen recht.

Vielen Dank

Yatsu · 11.01.2009, 09:09

Inzwischen habe ich auch noch Malwarebytes' Anti-Malware, CCleaner, Dr. Web und SUPERAntiSpyware Professional ausprobiert. Leider ist der Trojaner (falls tatsächlich noch vorhanden) von keinem entdeckt worden.

Inzwischen habe ich noch einen Durchlauf mit RunScanner gemacht. Hier das log:

Code:

ATTFilter

Runscanner logfile http://www.runscanner.net 

* = signed file
- = file not found

General info
------------
Computer name : ***
Creation time : 11.01.2009 09:03:45
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 6.0.2900.2180
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.7.0.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

Running processes
-----------------
  D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
  D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
  D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
* C:\WINDOWS\system32\services.exe (Microsoft Corporation)
* C:\WINDOWS\System32\alg.exe (Microsoft Corporation)
* C:\WINDOWS\system32\csrss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
* C:\WINDOWS\system32\RUNDLL32.EXE (Microsoft Corporation)
* C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
  C:\WINDOWS\Imgtask.exe
* C:\WINDOWS\system32\lsass.exe (Microsoft Corporation)
* C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
* C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
* D:\runscanner\RunScanner.exe (Runscanner.net)
* C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)
  D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
* C:\WINDOWS\System32\TUProgSt.exe (TuneUp Software)
* C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
* C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\wdfmgr.exe (Microsoft Corporation)
  C:\Programme\Sinus 154 stick\Wifiusb.exe (TECOM)
* C:\WINDOWS\System32\wbem\wmiprvse.exe (Microsoft Corporation)

Unrated items
-------------
002   D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
002   C:\WINDOWS\Imgtask.exe
002   C:\WINDOWS\system32\nwiz.exe
003   D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
005   C:\WINDOWS\Installer\{9D079233-177B-4BEE-A1F7-8568AD3E41D1}\NewShortcut2.exe
010   D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira AntiVir Personal - Free Antivirus Guard)
010   D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira AntiVir Personal - Free Antivirus Planer)
010 * C:\WINDOWS\System32\TuneUpDefragService.exe (TuneUp Drive Defrag-Dienst)
010 * C:\WINDOWS\System32\TUProgSt.exe (TuneUp Program Statistics Service)
011   C:\WINDOWS\system32\DRIVERS\mdc8021x.sys (AEGIS Protocol (IEEE 802.1x) v2.3.1.9)
011 * D:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (avgio)
011 * D:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (avgntflt)
011 * C:\WINDOWS\system32\DRIVERS\avipbb.sys (avipbb)
011 * C:\Programme\MediaCoder\SysInfo.sys (CrystalSysInfo)
011 * C:\WINDOWS\System32\Drivers\ElbyCDFL.sys (ElbyCDFL)
011   C:\WINDOWS\system32\DRIVERS\fasttrak.sys (fasttrak)
011   C:\WINDOWS\system32\PCANDIS5.SYS (PCANDIS5 NDIS Protocol Driver)
011   D:\Programme\SUPERAntiSpyware\SASDIFSV.SYS (SASDIFSV)
011   D:\Programme\SUPERAntiSpyware\SASENUM.SYS (SASENUM)
011   D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL)
011   C:\WINDOWS\system32\DRIVERS\PRISMA02.sys (Sinus 154 stick)
011   C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv)
011   C:\WINDOWS\System32\Drivers\DgiVecp.sys (Team MFP Comm Driver)
031   C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
031   C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
031   C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}
031   C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}
035   C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
047   Zone: microsoft.com : *.microsoft.com
047   Zone: rapidshare.com : *.rapidshare.com
047   Zone: rapidshare.de : *.rapidshare.de
047   Zone: utorrent.com : *.utorrent.com
050   D:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}
061   C:\WINDOWS\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D}
061   C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47}
061   C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
061   D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
061 * C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28}
061 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
061 * C:\WINDOWS\System32\uxtuneup.dll (TuneUp Software) {44440D00-FF19-4AFC-B765-9A0970567D97}
061   C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F}
061   C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
067   D:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
102   GUID / CLSID not found {32683183-48a0-441b-a342-7c2a440a9478}
104   GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
105   Download with GetRight : C:\Programme\GetRight\GRdownload.htm
105   Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
105   Open with GetRight Browser : C:\Programme\GetRight\GRbrowse.htm
173   D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
173   D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
173 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
173   C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
221   D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
221   D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
221 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
221   C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225   D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225   D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225   C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225   C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
227   D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
227 * C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28}
227 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
227   C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
229   C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}

Missing files
-------------
010 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
011 C:\WINDOWS\system32\drivers\Abiosdsk.sys
011 C:\WINDOWS\system32\drivers\abp480n5.sys
011 C:\WINDOWS\system32\drivers\adpu160m.sys
011 C:\WINDOWS\system32\drivers\Aha154x.sys
011 C:\WINDOWS\system32\drivers\aic78u2.sys
011 C:\WINDOWS\system32\drivers\aic78xx.sys
011 C:\WINDOWS\system32\drivers\AliIde.sys
011 C:\WINDOWS\system32\drivers\amsint.sys
011 C:\WINDOWS\system32\drivers\asc.sys
011 C:\WINDOWS\system32\drivers\asc3350p.sys
011 C:\WINDOWS\system32\drivers\asc3550.sys
011 C:\WINDOWS\system32\drivers\Atdisk.sys
011 C:\WINDOWS\system32\drivers\cd20xrnt.sys
011 C:\WINDOWS\system32\drivers\Changer.sys
011 C:\WINDOWS\system32\drivers\CmdIde.sys
011 C:\WINDOWS\system32\drivers\Cpqarray.sys
011 C:\WINDOWS\system32\drivers\dac2w2k.sys
011 C:\WINDOWS\system32\drivers\dac960nt.sys
011 C:\WINDOWS\system32\drivers\dpti2o.sys
011 E:\INSTALL\GMSIPCI.SYS
011 C:\WINDOWS\system32\drivers\hpn.sys
011 C:\WINDOWS\system32\drivers\hpt3xx.sys
011 C:\WINDOWS\system32\drivers\i2omgmt.sys
011 C:\WINDOWS\system32\drivers\i2omp.sys
011 C:\WINDOWS\system32\drivers\ini910u.sys
011 C:\WINDOWS\system32\drivers\IntelIde.sys
011 C:\WINDOWS\system32\drivers\lbrtfdc.sys
011 C:\WINDOWS\system32\drivers\mraid35x.sys
011 C:\WINDOWS\system32\drivers\PCIDump.sys
011 C:\WINDOWS\system32\drivers\PDCOMP.sys
011 C:\WINDOWS\system32\drivers\PDFRAME.sys
011 C:\WINDOWS\system32\drivers\PDRELI.sys
011 C:\WINDOWS\system32\drivers\PDRFRAME.sys
011 C:\WINDOWS\system32\drivers\perc2.sys
011 C:\WINDOWS\system32\drivers\perc2hib.sys
011 C:\WINDOWS\system32\drivers\ql1080.sys
011 C:\WINDOWS\system32\drivers\Ql10wnt.sys
011 C:\WINDOWS\system32\drivers\ql12160.sys
011 C:\WINDOWS\system32\drivers\ql1240.sys
011 C:\WINDOWS\system32\drivers\ql1280.sys
011 C:\WINDOWS\system32\drivers\Simbad.sys
011 C:\WINDOWS\system32\drivers\Sparrow.sys
011 C:\WINDOWS\system32\drivers\sym_hi.sys
011 C:\WINDOWS\system32\drivers\sym_u3.sys
011 C:\WINDOWS\system32\drivers\symc810.sys
011 C:\WINDOWS\system32\drivers\symc8xx.sys
011 C:\WINDOWS\system32\drivers\TosIde.sys
011 C:\WINDOWS\system32\drivers\ultra.sys
011 C:\WINDOWS\system32\drivers\ViaIde.sys
011 C:\WINDOWS\system32\drivers\WDICA.sys
061 deskpan.dll

Yatsu · 12.01.2009, 10:24

Zuerst einmal Danke an alle, die jetzt noch in diesen Thread reinschauen.

Mit Hilfe des Test-Programms Trojan Simulator konnte ich ähnliche Bedingungen nachstellen:

Bei der Option "Zugriff verweigern" löscht AntiVir die verdächtige Datei sofort vom System.

Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ?

Log-Analyse und Auswertung: Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ?