Firefox leitet auf fremde Seiten um

john.doe · 16.05.2009, 20:58

Entwarnung. Er hat tatsächlich nur Mails gefunden, die meisten davon im Papierkorb, aber auch etliche in deinem Posteingang. Dann hat er aber noch die in der Quarantäne von Combofix gefunden, das ich dich eigentlich schon längst deinstallieren ließ.

Also nochmal:
Start => Ausführen => combofix /u => OK

Dann löscht du alle Mails und vor allem deinen Papierkorb von Thunderbird.

1.) CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI.

Logs nur posten, falls etwas gefunden wird. Zum Abschluss ein HJT-Log posten.

ciao, andreas

Raketenmann · 16.05.2009, 21:18

Zitat:

Zitat von john.doe

Dann hat er aber noch die in der Quarantäne von Combofix gefunden, das ich dich eigentlich schon längst deinstallieren ließ.

Also nochmal:
Start => Ausführen => combofix /u => OK

Hab ich auch deinstalliert. Ich hab jetzt trotzdem nochmal "combofix /u" ausgeführt. Die MessageBox sagt dann, dass combofix nicht gefunden wurde.
hmm.. soll ich dann was von Hand löschen?

Gruß
Raketenmann

john.doe · 16.05.2009, 21:39

Ja.

Lösche die Ordner (falls vorhanden):
C:\Qoobox
C:\Combofix
C:\windows\erdnt

und die Datei:
C:\combofix.txt

ciao, andreas

Raketenmann · 17.05.2009, 10:12

Hier schonmal das log von CureIT Dr Web

Code:

ATTFilter

ck.exe;C:\EasyDivX\softs;Tool.Prockill;Verschoben.;
NorExec.exe;C:\Programme\ASUS\WLAN Card Utilities;Win32.HLLW.Walker.3;Gelöscht.;
A0001696.bat;C:\System Volume Information\_restore{EB121D48-2810-43B9-831B-8DE1A8BDF5D5}\RP3;Wahrscheinlich BATCH.Virus;Verschoben.;
A0001822.exe;C:\System Volume Information\_restore{EB121D48-2810-43B9-831B-8DE1A8BDF5D5}\RP4;Win32.HLLW.Walker.3;Gelöscht.;
popcaploader.dll;C:\WINDOWS\Downloaded Program Files;Program.PopcapLoader;Verschoben.;

Raketenmann · 17.05.2009, 13:58

ActiveScan:
http://rapidshare.com/files/234000464/ActiveScan.txt.html

MD5: 6F48215F287185958105FCB5D161EDB6

Raketenmann · 17.05.2009, 14:08

Prevx 3.0 hat einen "High Risk Worm" gefunden. Hab nichts zum Log speichern gefunden.
Status: Threat (License required to clean)
Name: mcfmfli.sys in c:\windows\system32\drivers\
Threat Identified: High Risk Worm

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:54, on 17.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe
F:\spiele\ncsoft\launcher\NCLauncher.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\HijackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - G:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [PlayNC Launcher] F:\spiele\ncsoft\launcher\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E18BB3-1B35-4F74-A3A0-41BC2D168F0C}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TVersityMediaServer - Unknown owner - F:\Programme\Media Server\MediaServer.exe

--
End of file - 7373 bytes

john.doe · 17.05.2009, 14:28

1.) Lade die Datei

Code:

ATTFilter

c:\windows\system32\drivers\mcfmfli.sys

bitte bei uns hoch. http://www.trojaner-board.de/54791-a...ner-board.html

2.) Starte Malwarebytes, führe das Update durch, starte eine Quickscan und poste das Log.

ciao, andreas

Raketenmann · 17.05.2009, 16:03

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2145
Windows 5.1.2600 Service Pack 3

17.05.2009 17:01:53
mbam-log-2009-05-17 (17-01-53).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 100816
Laufzeit: 13 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das Fenster von Prevx ist nochmal aufgegangen, dort steht immer noch das gleiche drin wie vorher. Soll der auch weiterhin an und installiert bleiben?

Gruß
Raketenmann

john.doe · 17.05.2009, 16:24

Zitat:

Soll der auch weiterhin an und installiert bleiben?

Nein, der kann genauso deinstalliert werden, wie

Panda Online Scan
Kaspersky Online Scan
DrWeb CureIt

Kontrolliere, ob es einen Ordner

Code:

ATTFilter

C:\Programme\EbatesMoeMoneyMaker

gibt. Falls ja, dann samt Inhalt löschen.

Und du hast noch immer nicht deine verseuchten Emails gelöscht, bitte nachholen.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Lade dir den Regseeker

Klick auf Clean the registry
Klick auf OK
Warte bis er fertig gesucht hat
Klick auf Select => markiere nur die Grünen
Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.

3.) Lade dir den Microsoft RegClean - Download - CHIP Online, starte ihn und klicke auf Fix Errors und zwar solange, bis Fix Errors grau bleibt.

4.) Wegen der hochgeladenen Datei müssen wir noch etwas warten. Prevx hat sie erkannt, VT sagt 8/40, aber Prevx war nicht dabei. Das könnte mal wieder ein Fehlalarm sein.

5.) Gibt es noch irgendwelche Auffälligkeiten oder verhält sich der Rechner wieder normal?

ciao, andreas

p.s.: Gerade Antwort von Kaspersky erhalten, die Datei ist sauber. Einfach abwarten, was die anderen schreiben.

Raketenmann · 17.05.2009, 16:40

Zitat:

Zitat von john.doe

Und du hast noch immer nicht deine verseuchten Emails gelöscht, bitte nachholen.

Wenn ich Thunderbird öffne ist da absolut nichts mehr drin. Alle Ordner sind leer. Ich kann den aber sonst auch deinstallieren und Notfalls den Thunderbird Ordner aus den Anwendungsdaten von Hand löschen, wenn das nötig ist.

Wenn ich Ordner lösche, reicht es, die mit Entf + Papierkorb leeren zu löschen?
DrWeb CureIT hat keinen Uninstaller? Kann ich einfach die exe auf dem Desktop löschen?

john.doe · 17.05.2009, 16:45

Zitat:

Notfalls den Thunderbird Ordner aus den Anwendungsdaten von Hand löschen, wenn das nötig ist.

Hmm.

Wenn alle Stricke reissen, dann machen wir das so.

Lass im Anschluss nochmal Avira so laufen: http://www.trojaner-board.de/54192-a...tellungen.html

Zitat:

Wenn ich Ordner lösche, reicht es, die mit Entf + Papierkorb leeren zu löschen?

Schneller geht es, wenn du mit [Umschalt][Entf] löscht, dann landet es erst gar nicht im Papierkorb.

ciao, andreas

john.doe · 17.05.2009, 19:47

Hier nochmal das Ergebnis von VT (zur Beweissicherung und Untermauerung von: Traue niemals der Aussage eines AVPs):

Code:

ATTFilter

Datei mcfmfli.sys empfangen 2009.05.17 15:58:15 (CET)
Status: Beendet 
Ergebnis: 8/40 (20.00%)
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.05.17	-
AhnLab-V3	5.0.0.2	2009.05.16	Win-Trojan/Avenger.61440
AntiVir	7.9.0.168	2009.05.17	-
Antiy-AVL	2.0.3.1	2009.05.15	-
Authentium	5.1.2.4	2009.05.16	-
Avast	4.8.1335.0	2009.05.16	-
AVG	8.5.0.336	2009.05.16	-
BitDefender	7.2	2009.05.17	-
CAT-QuickHeal	10.00	2009.05.15	-
ClamAV	0.94.1	2009.05.16	-
Comodo	1157	2009.05.08	-
DrWeb	5.0.0.12182	2009.05.17	-
eSafe	7.0.17.0	2009.05.17	Win32.Banker
eTrust-Vet	31.6.6508	2009.05.16	-
F-Prot	4.4.4.56	2009.05.16	-
F-Secure	8.0.14470.0	2009.05.16	-
Fortinet	3.117.0.0	2009.05.17	PossibleThreat
GData	19	2009.05.17	-
Ikarus	T3.1.1.49.0	2009.05.17	-
K7AntiVirus	7.10.737	2009.05.16	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.05.17	-
McAfee	5617	2009.05.16	-
McAfee+Artemis	5617	2009.05.16	-
McAfee-GW-Edition	6.7.6	2009.05.17	-
Microsoft	1.4602	2009.05.17	-
NOD32	4080	2009.05.15	-
Norman	6.01.05	2009.05.16	W32/Agent.HHSF
nProtect	2009.1.8.0	2009.05.17	-
Panda	10.0.0.14	2009.05.17	Rootkit/Agent.LNB
PCTools	4.4.2.0	2009.05.17	Trojan-PWS.Bancos.PWN
Prevx	3.0	2009.05.17	-
Rising	21.29.62.00	2009.05.17	-
Sophos	4.41.0	2009.05.17	-
Sunbelt	3.2.1858.2	2009.05.16	-
Symantec	1.4.4.12	2009.05.17	-
TheHacker	6.3.4.1.326	2009.05.17	-
TrendMicro	8.950.0.1092	2009.05.15	-
VBA32	3.12.10.5	2009.05.17	-
ViRobot	2009.5.15.1737	2009.05.15	Hoax..Agent.61440
VirusBuster	4.6.5.0	2009.05.16	-
weitere Informationen
File size: 61440 bytes
MD5...: 589312a3b46721c5a751e4d5222a89be
SHA1..: 3a497d3968a4f6e3c648d196da38e5f98e75ec30
SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae
SHA512: c8abe050c97efe34541c3ef293a750e34b82117ae41f41d83db1f1489eb5d776
a1d59d0b4a1e13536e5bebda630693daf4be66cc386f587a69288c76df98cf7b
ssdeep: 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd394
timedatestamp.....: 0x476b398b (Fri Dec 21 03:56:59 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0xd756 0xd780 5.52 e0dc8fff10e3a7c6343455cd02a67954
.rdata 0xdb80 0x10e 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302
.data 0xdd00 0xc0 0x100 0.04 66a415a49d751cb335895306ecfb3389
INIT 0xde00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc
.reloc 0xe180 0xe2c 0xe80 6.60 4f845320301140370066cbceee4c5e4c

( 1 imports ) 
> ntoskrnl.exe: ZwWriteFile, wcslen, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, wcscat, wcscpy, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePoolWithTag, RtlPrefixUnicodeString, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwOpenFile, ZwSetInformationFile, KeTickCount, ZwQueryInformationFile, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=589312a3b46721c5a751e4d5222a89be
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=589312a3b46721c5a751e4d5222a89be

Man achte nur auf die Bezeichnungen: Win-Trojan/Avenger.61440, Win32.Banker, Trojan.Win32.Malware.1, W32/Agent.HHSF, Rootkit/Agent.LNB, Trojan-PWS.Bancos.PWN (PWS=Passwordstealer, Banker

), Hoax..Agent.61440 (das passt schon eher

)

Weitere Nachricht von Fortinet: Datei ist sauber.

ciao, andreas

p.s.: Jetzt sind es schon 9/40.

http://www.virustotal.com/de/analisi...346fa238801352

Raketenmann · 17.05.2009, 22:08

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. Mai 2009  18:44

Es wird nach 1396800 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     RAKETENMANN

Versionsinformationen:
BUILD.DAT     : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 23:22:55
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 17:11:44
LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 17:11:44
LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 17:11:44
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 15:31:38
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 07:43:16
ANTIVIR2.VDF  : 7.1.3.185    2010112 Bytes  12.05.2009 20:15:44
ANTIVIR3.VDF  : 7.1.3.216     129536 Bytes  16.05.2009 11:46:36
Engineversion : 8.2.0.168 
AEVDF.DLL     : 8.1.1.1       106868 Bytes  02.05.2009 06:52:31
AESCRIPT.DLL  : 8.1.2.0       389497 Bytes  16.05.2009 11:46:48
AESCN.DLL     : 8.1.2.3       127347 Bytes  16.05.2009 11:46:45
AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 21:50:46
AEPACK.DLL    : 8.1.3.16      397686 Bytes  08.05.2009 11:22:06
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  28.02.2009 14:01:09
AEHEUR.DLL    : 8.1.0.129    1761655 Bytes  16.05.2009 11:46:43
AEHELP.DLL    : 8.1.2.2       119158 Bytes  28.02.2009 14:01:08
AEGEN.DLL     : 8.1.1.44      348532 Bytes  16.05.2009 11:46:42
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 08:09:38
AECORE.DLL    : 8.1.6.9       176500 Bytes  15.04.2009 14:46:38
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 08:09:37
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 17:11:44
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 17:11:44
AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 07:02:45
AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 17:11:44
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 17:11:44
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 17:11:44
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 17:11:42
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 17:11:42

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: F:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:, G:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 17. Mai 2009  18:44

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '93785' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSys2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSVNCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcAppFlt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DXDebugService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AccWLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '50' Prozesse mit '50' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\GER_SQLEVAL.EXE
    [0] Archivtyp: CAB SFX (self extracting)
    --> \books\odssql.chi
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\*MeinName*\DoctorWeb\Quarantine\popcaploader.dll
    [FUND]      Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a804164.qua' verschoben!
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'F:\' <Applikationen>
Beginne mit der Suche in 'G:\' <Volume>


Ende des Suchlaufs: Sonntag, 17. Mai 2009  21:27
Benötigte Zeit:  2:43:07 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  63792 Verzeichnisse wurden überprüft
 1469201 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 1469199 Dateien ohne Befall
   8316 Archive wurden durchsucht
      2 Warnungen
      1 Hinweise
  93785 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Ok, also verbleibt die ' mcfmfli.sys' erstmal auf meinem System?
Und der Popcaploader? Ich weiss leider noch nicht wie ich DrWeb sauber entferne...

john.doe · 17.05.2009, 22:46

Zitat:

Ok, also verbleibt die ' mcfmfli.sys' erstmal auf meinem System?

Ja. Das müssen Falschmeldungen sein, da hake ich nach. Es scheint fast so, als würden die Bezeichnungen für die Schädlinge(oder auch nicht) nicht ermittelt sondern gewürfelt.

Zitat:

Ich weiss leider noch nicht wie ich DrWeb sauber entferne...

Der ist in Quarantäne von DrWeb. Falls du ihn deinstalliert hast, dann lösche den Ordner

Code:

ATTFilter

C:\Dokumente und Einstellungen\*MeinName*\DoctorWeb

mit [Umschalt][Entf].

Gibt es noch irgendwelche Auffälligkeiten, denn wir jagen zur Zeit nur noch Falschmeldungen hinterher?

ciao, andreas

Raketenmann · 18.05.2009, 07:28

Auffälligkeiten bemerke ich keine mehr.
- keine Umleitungen
- keine Trayicons
Einzig der Ordner
'C:\Programme\EbatesMoeMoneyMaker'
kam mir seltsam vor. Als mir die Anleitung zur Systeminstallation empfohlen wurde, hab ich den Programme Ordner mal durchgestöbert und da war er mir nicht aufgefallen. Das kann allerdings auch ganz unbedeutend sein. Ich werde einfach mal darauf achten, ob sowas wieder auftaucht.

Gruß
Philipp

Firefox leitet auf fremde Seiten um

Log-Analyse und Auswertung: Firefox leitet auf fremde Seiten um