Hilfe! Welcher Virus! Dll Dateien fehlen! Webe-fenster öffnen sich!

john.doe · 01.07.2009, 16:52

Zitat:

Die Datei mit den Mails kann ich nicht finden

Die findest du hier =>

Code:

ATTFilter

C:\Users\Jens Knossalla\AppData\Local\Microsoft\Outlook\outlook.pst

Entweder du löscht diese Datei, dann sind aber alle deine (verseuchten) Mails weg oder du startest Outlook und löscht eine nach der anderen.

Zitat:

weil das der screenshot ganz klein im paint ist, man kann nichts erkennen.

Dann notiere dir die Meldungen. Zwei kann ich im Log erkennen =>

Zitat:

[B] c:\users\jens knossalla\desktop\cofi.exe.exe [PX5: A38EE7CDCE5F47746C1C2EB87A9FCB00195B1D31] Malware Group: High Risk Spyware
[B] c:\program files\hdquality\uninstall.exe [PX5: 305CB116665F1C37F572002E07AF6D006BBF9273] Malware Group: Medium Risk Malware

Du brauchst also nur die dritte zu notieren und zu posten.

ciao, andreas

Knossi · 01.07.2009, 16:53

c:\program files\hdquality\uninstall.exe

Was ist mit dieser Datei, soll ich die nachdem ich sie hochgeladen habe löschen?

john.doe · 01.07.2009, 16:54

Nein, das kein ein Fehlalarm sein. Warte die Auswertung ab.

ciao, andreas

Knossi · 01.07.2009, 16:59

Also:

die dritte verseuchte datei ist:

Uninstall.Ink. in \??\C:\Users\Jens Knossalla\AppData\Roaming\Microsoft\Windows\Star Menu\Programs\HDQuality\

Die Datei die ihr wollt, wird sofort hochgeladen

john.doe · 01.07.2009, 17:02

Rootkit.

GMER - Rootkit Detection

Lade Trallala von file-upload.net
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Trallala.exe
Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Knossi · 01.07.2009, 17:06

So, habs hochgeladen.....was ist denn jetzt eigentlich mit dem Proframm PREVX? Kann ich das löschen?

Wie gehts weiter chef?

john.doe · 01.07.2009, 17:16

Mit Gmer.

ciao, andreas

Knossi · 01.07.2009, 17:27

Ich hab aber irgendwie komische dateien jetzt in manchen laufwerken. Wie zb in D: $RECYCLE.BIN und System Volume INformation.
Warum das? Die lassen sich auch nicht löschen

john.doe · 01.07.2009, 17:35

Zitat:

Ich hab aber irgendwie komische dateien jetzt in manchen laufwerken. Wie zb in D: $RECYCLE.BIN und System Volume INformation.
Warum das?

Die sind nicht komisch, die gehören zum Betriebssystem, werden aber normalerweise nicht angezeigt. Recycle ist der Papierkorb und System Volume Information die Systemwiederherstellung. Mache den Schritt 1 wieder rückgängig, dann siehst du sie nicht mehr => http://www.trojaner-board.de/54791-a...ner-board.html

Kennst du das Programm HDQuality? Hast du es installiert? Brauchst du das Programm?

ciao, andreas

Knossi · 01.07.2009, 17:37

http://www.materialordner.de/HiZSYLCMFpbBPCXFMQcwFeTDsBJQd7lL.html

so hier bitteschön ;-)

wie weiter?

Knossi · 01.07.2009, 17:39

hd quality sagt mir gar nix, das ist vielleicht der divx codec oder? Wie soll ich ihn löschen?

john.doe · 01.07.2009, 17:46

Hier das Ergebnis von VT:

Code:

ATTFilter

Datei Uninstall.exe empfangen 2009.07.01 16:11:35 (UTC)
Status:    Beendet 
Ergebnis: 5/41 (12.2%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.18	2009.07.01	Trojan.Win32.Alureon!IK
AhnLab-V3	5.0.0.2	2009.07.01	-
AntiVir	7.9.0.199	2009.07.01	-
Antiy-AVL	2.0.3.1	2009.07.01	Trojan/Win32.TDSS.gen
Authentium	5.1.2.4	2009.06.30	-
Avast	4.8.1335.0	2009.06.30	-
AVG	8.5.0.386	2009.07.01	-
BitDefender	7.2	2009.07.01	-
CAT-QuickHeal	10.00	2009.07.01	-
ClamAV	0.94.1	2009.07.01	Trojan.Agent-118946
Comodo	1532	2009.07.01	-
DrWeb	5.0.0.12182	2009.07.01	-
eSafe	7.0.17.0	2009.06.29	-
eTrust-Vet	31.6.6591	2009.07.01	-
F-Prot	4.4.4.56	2009.06.30	-
F-Secure	8.0.14470.0	2009.07.01	-
Fortinet	3.117.0.0	2009.07.01	-
GData	19	2009.07.01	-
Ikarus	T3.1.1.64.0	2009.07.01	Trojan.Win32.Alureon
Jiangmin	11.0.706	2009.07.01	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.07.01	-
McAfee	5662	2009.06.30	-
McAfee+Artemis	5662	2009.06.30	-
McAfee-GW-Edition	6.7.6	2009.07.01	-
Microsoft	1.4803	2009.07.01	-
NOD32	4204	2009.07.01	-
Norman	6.01.09	2009.07.01	-
nProtect	2009.1.8.0	2009.07.01	-
Panda	10.0.0.14	2009.07.01	-
PCTools	4.4.2.0	2009.07.01	-
Prevx	3.0	2009.07.01	Medium Risk Malware
Rising	21.36.24.00	2009.07.01	-
Sophos	4.43.0	2009.07.01	-
Sunbelt	3.2.1858.2	2009.07.01	-
Symantec	1.4.4.12	2009.07.01	-
TheHacker	6.3.4.3.358	2009.06.30	-
TrendMicro	8.950.0.1094	2009.07.01	-
VBA32	3.12.10.7	2009.07.01	-
ViRobot	2009.7.1.1814	2009.07.01	-
VirusBuster	4.6.5.0	2009.07.01	-
weitere Informationen
File size: 62822 bytes
MD5...: 7b65b280cd4a4ec4593967c78a83cd8a
SHA1..: 65576c5cc291e617f5d3d618ca2f49966459d7af
SHA256: c69f78c154224984ffa56ed18fd67d493162d4fa03c326e4293034893866da14
ssdeep: 1536:Wdb/vBxIdFlU0AfLhANuIj7Aw6R4BJWxC+a:WnilMfONuXw6R4sC+a
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x39bc
timedatestamp.....: 0x49f083e9 (Thu Apr 23 15:06:17 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x76b8 0x7800 6.17 c5dc8044686b4e8cf4971a6245d3ea06
.data 0x9000 0x8c 0x200 1.19 93f0608a16a7e3925514f558dc4e804e
.rdata 0xa000 0xc54 0xe00 5.05 9290c338008ca65e13a690384caf847b
.bss 0xb000 0x399648 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x3a5000 0x13e0 0x1400 5.17 9ce0f458cdff9feedca5723172e6629b
.ndata 0x3a7000 0x8000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
.rsrc 0x3af000 0x4cc0 0x4e00 4.85 94a8c9701d5f43e3065382b6a24bc651

( 8 imports ) 
> ADVAPI32.DLL: RegCloseKey, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA
> COMCTL32.DLL: ImageList_AddMasked, ImageList_Create, ImageList_Destroy, InitCommonControls
> GDI32.dll: CreateBrushIndirect, CreateFontIndirectA, DeleteObject, GetDeviceCaps, SelectObject, SetBkColor, SetBkMode, SetTextColor
> KERNEL32.dll: CloseHandle, CompareFileTime, CopyFileA, CreateDirectoryA, CreateFileA, CreateProcessA, CreateThread, DeleteFileA, ExitProcess, ExpandEnvironmentStringsA, FindClose, FindFirstFileA, FindNextFileA, FreeLibrary, GetCommandLineA, GetCurrentProcess, GetDiskFreeSpaceA, GetExitCodeProcess, GetFileAttributesA, GetFileSize, GetFullPathNameA, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetPrivateProfileStringA, GetProcAddress, GetShortPathNameA, GetSystemDirectoryA, GetTempFileNameA, GetTempPathA, GetTickCount, GetVersion, GetWindowsDirectoryA, GlobalAlloc, GlobalFree, GlobalLock, GlobalUnlock, LoadLibraryA, LoadLibraryExA, MoveFileA, MulDiv, MultiByteToWideChar, ReadFile, RemoveDirectoryA, SearchPathA, SetCurrentDirectoryA, SetErrorMode, SetFileAttributesA, SetFilePointer, SetFileTime, Sleep, WaitForSingleObject, WriteFile, WritePrivateProfileStringA, lstrcatA, lstrcmpA, lstrcmpiA, lstrcpynA, lstrlenA
> OLE32.dll: CoCreateInstance, CoTaskMemFree, OleInitialize, OleUninitialize
> SHELL32.DLL: SHBrowseForFolderA, SHFileOperationA, SHGetFileInfoA, SHGetPathFromIDListA, SHGetSpecialFolderLocation, ShellExecuteA
> USER32.dll: AppendMenuA, BeginPaint, CallWindowProcA, CharNextA, CharPrevA, CheckDlgButton, CloseClipboard, CreateDialogParamA, CreatePopupMenu, CreateWindowExA, DefWindowProcA, DestroyWindow, DialogBoxParamA, DispatchMessageA, DrawTextA, EmptyClipboard, EnableMenuItem, EnableWindow, EndDialog, EndPaint, ExitWindowsEx, FillRect, FindWindowExA, GetClassInfoA, GetClientRect, GetDC, GetDlgItem, GetDlgItemTextA, GetMessagePos, GetSysColor, GetSystemMenu, GetSystemMetrics, GetWindowLongA, GetWindowRect, InvalidateRect, IsWindow, IsWindowEnabled, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadImageA, MessageBoxIndirectA, OpenClipboard, PeekMessageA, PostQuitMessage, RegisterClassA, ScreenToClient, SendMessageA, SendMessageTimeoutA, SetClassLongA, SetClipboardData, SetCursor, SetDlgItemTextA, SetForegroundWindow, SetTimer, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, SystemParametersInfoA, TrackPopupMenu, wsprintfA
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=305CB116665F1C37F572002E07AF6D006BBF9273' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=305CB116665F1C37F572002E07AF6D006BBF9273</a>

Ich habe es gerade nochmal an Avira und Kaspersky geschickt, aber beide behaupten weiterhin, dass die sauber ist.

Wie es weitergeht entscheidet das Log von Gmer.

ciao, andreas

Knossi · 01.07.2009, 17:49

Hier dir Link vom GMER Log:

http://www.materialordner.de/HiZSYLCMFpbBPCXFMQcwFeTDsBJQd7lL.html

john.doe · 01.07.2009, 18:03

Kann es sein, dass es hier einen Tippfehler gegeben hat?

Zitat:

Uninstall.Ink. in \??\C:\Users\Jens Knossalla\AppData\Roaming\Microsoft\Windows\Star Menu\Programs\HDQuality\

Und es eigentlich heißt

Zitat:

Uninstall.Ink. in \??\C:\Users\Jens Knossalla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HDQuality\

Falls ja, dann ist es ein Schädling.

Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem Doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

Folgenden Text einfügen:

Code:

ATTFilter

HDQuality

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ciao, andreas

Knossi · 01.07.2009, 18:09

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 01.07.2009 19:07:38 for strings:
; 'hdquality'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDQuality]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDQuality]
; Contents of value:
; "C:\Program Files\HDQuality\Uninstall.exe"
"UninstallString"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,\
61,00,6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,48,00,44,00,51,00,75,\
00,61,00,6c,00,69,00,74,00,79,00,5c,00,55,00,6e,00,69,00,6e,00,73,00,74,00,\
61,00,6c,00,6c,00,2e,00,65,00,78,00,65,00,22,00,00,00
; Contents of value:
; C:\Program Files\HDQuality
"InstallLocation"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,48,00,44,00,51,00,75,00,61,\
00,6c,00,69,00,74,00,79,00,00,00
"DisplayName"="HDQuality"
"DisplayIcon"="C:\\Program Files\\HDQuality\\Uninstall.exe,0"

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\HDQuality]

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\HDQuality]
@="C:\\Program Files\\HDQuality"

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\HDQuality]

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"b"="c:\\program files\\hdquality\\\\1"

; End Of The Log...

Hilfe! Welcher Virus! Dll Dateien fehlen! Webe-fenster öffnen sich!

Log-Analyse und Auswertung: Hilfe! Welcher Virus! Dll Dateien fehlen! Webe-fenster öffnen sich!