Hallo, seit ein paar Tagen öffnen sich Werbefenster im IE, obwohl ich den IE garnicht nutze. Da ich nicht so viel Ahnung von Computern habe, hoffe ich das ihr mir helfen könnt.

sg Marco

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:34, on 12.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\msb.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\Power Saver\TPwrMain.exe
C:\Program Files\Toshiba\SmoothView\SmoothView.exe
C:\Program Files\Toshiba\FlashCards\TCrdMain.exe
C:\Program Files\Toshiba\ConfigFree\NDSTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PdaNet for iPhone\PdaNetPC.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Toshiba\ConfigFree\CFSwMgr.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Red Kawa\Video Converter App\VideoConverterApp.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\program files\mozilla firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\Windows\system32\msxml71.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [cfFncEnabler.exe] cfFncEnabler.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [jswtrayutil] "C:\Program Files\Jumpstart\jswtrayutil.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [iPhone PC Suite] C:\Users\Katrin&Marco\Desktop\PCSuitev2.2.0.181\iPhone\iPhone PC Suite.exe /start
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] C:\Program Files\MySpace\IM\MySpaceIM.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MySpaceIM] C:\Program Files\MySpace\IM\MySpaceIM.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
O4 - Startup: PdaNet Desktop.lnk = C:\Program Files\PdaNet for iPhone\PdaNetPC.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26F414FD-6449-4399-81BC-66056FFB34FC}: NameServer = 217.0.43.81 217.0.43.65
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c9e90f4799efd6) (gupdate1c9e90f4799efd6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\Jumpstart\jswpsapi.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Notebook Performance Tuning Service (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TempoSVC.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9270 bytes

Hi,

uno momento porvabor (oder so ähnlich)...

Here we go:
Hi,

zwei Sachen, wahrscheinlich ein Downloader und Fakeware/Wurm...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\system32\msxml71.dll
C:\Windows\msb.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also, wenn ein File nicht erkannt wurde unten beim Avengerscript rauslöschen!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Windows\system32\msxml71.dll
C:\Windows\msb.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\Windows\system32\msxml71.dll
         

Wo die msb.exe gestartet wird, kann ich momentan noch nicht sehen...
(Wenn es das ist für was ich es halte, ist sie sehr gefährlich ...)

MAM, RSIT und GMER:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris

Datei msxml71.dll empfangen 2009.08.12 10:50:25 (UTC)
Status: Beendet
Ergebnis: 2/41 (4.88%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.0 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 -
Avast 4.8.1335.0 2009.08.11 -
AVG 8.5.0.406 2009.08.12 Fat-Obfuscated
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 -
ClamAV 0.94.1 2009.08.12 -
Comodo 1951 2009.08.12 -
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.11 -
F-Secure 8.0.14470.0 2009.08.12 -
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 -
K7AntiVirus 7.10.816 2009.08.11 -
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5706 2009.08.11 -
McAfee+Artemis 5706 2009.08.11 -
McAfee-GW-Edition 6.8.5 2009.08.12 Heuristic.LooksLike.Trojan.Dldr.FraudLoad.H
Microsoft 1.4903 2009.08.12 -
NOD32 4328 2009.08.12 -
Norman 2009.08.11 -
nProtect 2009.1.8.0 2009.08.12 -
Panda 10.0.0.14 2009.08.11 -
PCTools 4.4.2.0 2009.08.11 -
Prevx 3.0 2009.08.12 -
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 -
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 -
VBA32 3.12.10.9 2009.08.12 -
ViRobot 2009.8.12.1881 2009.08.12 -
VirusBuster 4.6.5.0 2009.08.11 -
weitere Informationen
File size: 207876 bytes
MD5 : c57eab59e6f588112402e0fac91b3cbd
SHA1 : 8d3b60b033c31b7901576e111aeb7cbbc9afc535
SHA256: e738970650fed1799f7078f747e550e0b496578cb3e871e1f14a85beb2ca5bef
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1598
timedatestamp.....: 0x463B4C86 (Fri May 4 17:08:54 2007)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
DATA 0x1000 0x221B 0x2400 5.34 55f561bd413488b1840dbc91110286b4
.idata 0x4000 0x2 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.bss 0x5000 0x2EC32 0x2EE00 7.29 64e411df5bea0665d85af3bccbe54759
.b7722 0x34000 0x995 0xA00 2.19 39a21c5550e97b6f2b99901e55d5b63b
.edata 0x35000 0x12A 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rsrc 0x36000 0x3DD75 0x800 0.00 c99a74c555371a433d121f551d6c6398

( 2 imports )

> kernel32.dll: GetLastError, DeleteFileW, CreateDirectoryA, GetCommandLineA, GlobalFree, CopyFileExW, GetFileSize, OpenFileMappingA, GetStdHandle, DeleteFileA, GetComputerNameA, GetFileTime, CopyFileExA, ReadConsoleA, DeleteAtom, CopyFileA, ReadFile, FindAtomA
> user32.dll: InsertMenuA, IsMenu, CreateIcon, AppendMenuA, LoadMenuA, LoadCursorA, GetFocus, CloseWindow, CopyImage, GetWindowTextLengthA, CopyRect, GetWindow, CopyIcon, EndDialog, GetWindowTextA, IsWindow, GetDlgItem, DrawTextW, DialogBoxParamW

( 0 exports )
TrID : File type identification
['Win32 Dynamic Link Library (generic) (55.5%)/nClipper DOS Executable (14.7%)/nGeneric Win/DOS Executable (14.6%)/nDOS Executable Generic (14.6%)/nVXD Driver (0.2%)', None, None]
ssdeep: 3072:Jjd5K1mX7lU/l8BxJjZPOgqc3tU6yilFiE8EO1cPwz/Zpt3TDs4B5wv8RBq/o+:JnJat8BxJwa9UnwiE8EecPi/+IZRYN
PEiD : -
PDFiD : ['-', None, None]
RDS : NSRL Reference Data Set
-


Datei msb.exe empfangen 2009.08.12 11:26:43 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/41 (14.64%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.0 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 W32/Zbot.1!Generic
Avast 4.8.1335.0 2009.08.11 -
AVG 8.5.0.406 2009.08.12 -
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 -
ClamAV 0.94.1 2009.08.12 -
Comodo 1953 2009.08.12 -
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 Suspicious File
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.11 W32/Zbot.1!Generic
F-Secure 8.0.14470.0 2009.08.12 Trojan-Downloader:W32/Renos.gen!C
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 -
K7AntiVirus 7.10.816 2009.08.11 -
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5706 2009.08.11 -
McAfee+Artemis 5706 2009.08.11 -
McAfee-GW-Edition 6.8.5 2009.08.12 -
Microsoft 1.4903 2009.08.12 -
NOD32 4328 2009.08.12 -
Norman 6.01.09 2009.08.11 -
nProtect 2009.1.8.0 2009.08.12 -
Panda 10.0.0.14 2009.08.11 -
PCTools 4.4.2.0 2009.08.11 -
Prevx 3.0 2009.08.12 Medium Risk Malware
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 Mal/EncPk-HW
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 -
VBA32 3.12.10.9 2009.08.12 -
ViRobot 2009.8.12.1881 2009.08.12 -
VirusBuster 4.6.5.0 2009.08.11 -
weitere Informationen
File size: 152068 bytes
MD5...: 78e44cfed31d92db8a0d773492df26dd
SHA1..: b80b3f178f3d1d624a18a9b2cff44cbf9787274e
SHA256: 836c2c9e09cf8d1f32d239a65553d8bd9a8cfdecaaa04da0e6f0f7afbbe12cba
ssdeep: 3072:wnPOe+mdKWubDKAZtWRgyuUoJdk0USpmw1pkNpHI82PcRxHs:wWAuXfuw9J
7UmkbHIHcRhs
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (55.7%)
Clipper DOS Executable (14.8%)
Generic Win/DOS Executable (14.7%)
DOS Executable Generic (14.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1117
timedatestamp.....: 0x47dc019e (Sat Mar 15 17:04:30 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.teat 0x1000 0x59ba 0x5a00 5.16 114f1a81aba75aa2272bdbf72bff8f61
.rdada 0x7000 0x1b046 0x1b200 7.34 db96e659b0a38f83b4000bfe85c56166
.edata 0x23000 0x1ebe0 0x1e00 0.13 66201e5a878c7027a326a235f0793e52
.reloc 0x42000 0x1705 0x800 0.33 b33336a2ada086e739659cdaef8a76e7
.idata 0x44000 0x231 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

( 5 imports )
> KERNEL32.DLL: lstrcatA, GetModuleFileNameA, GlobalAlloc, GetCommandLineA, Sleep, HeapAlloc, lstrcmpA, lstrcpynA, GetCommandLineW, GetFileSize, GlobalFree, GetCPInfo, GetModuleHandleA, lstrcpyA, lstrcmpiA, GetLogicalDrives, HeapFree, GetFileType, GetStringTypeA, GetOEMCP
> USER32.DLL: CalcMenuBar, CopyRect, GetMenu, CopyIcon, DrawIcon, AppendMenuW, DialogBoxParamW, IsMenu, DrawIconEx, AlignRects, GetFocus, AppendMenuA, InsertMenuA, GetDC, EndDialog, LoadCursorA, CopyImage
> KERNEL32.DLL: lstrcatA, FreeLibrary, GetStringTypeA, GetLastError, lstrcpynA, GlobalAlloc, lstrcmpA, GetModuleHandleA, GlobalFree, GetLogicalDrives, GetLastError, lstrcmpiA, WideCharToMultiByte, GetModuleFileNameA, GetCommandLineW, GetFileAttributesA, HeapFree, DeleteFileA, GetStringTypeW, GetOEMCP
> KERNEL32.DLL: FreeConsole, lstrcpyA, FreeConsole, DeleteFileA, FreeConsole, GetFileType, FreeConsole, lstrcmpA, FreeConsole, GetCPInfo, FreeConsole, GetModuleFileNameA, FreeConsole, GetFileAttributesA, FreeConsole, GetStringTypeW, FreeConsole, GetLogicalDrives, FreeConsole, GetLocalTime
> ADVAPI32.DLL: RegEnumKeyA, RegDeleteKeyW, RegLoadKeyA, RegLoadKeyW, RegOpenKeyExW, RegReplaceKeyW, RegCreateKeyW, RegEnumKeyW, RegEnumKeyExA, RegDeleteKeyA, RegDeleteValueA, RegQueryInfoKeyA, RegOpenKeyExA, RegDeleteValueW, RegQueryValueExW, RegEnumValueA, RegFlushKey, RegGetKeySecurity, RegCreateKeyExA, RegQueryValueW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=370B5B8004E2555F52CF02B31D84EE00D7F6C801' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=370B5B8004E2555F52CF02B31D84EE00D7F6C801</a>

Hier die RSIT dateien

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\system32\msxml71.dll" deleted successfully.
File "C:\Windows\msb.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hi,

da ist laut RSIT noch eine Datei im Verbund:
2009-08-11 23:47:17 ----A---- C:\Windows\msb.exe
2009-08-11 18:18:53 ----A---- C:\Windows\msa.exe
2009-08-11 18:18:42 ----A---- C:\Windows\system32\msxml71.dll

Die werden wir uns mal genauer ansehen...
http://www.trojaner-board.de/54791-a...ner-board.html...
Das Backupfile von Avenger findest Du unter:
C:\avenger\backup.zip

Die Datei C:\Windows\msa.exe hochladen und dann ebenfalls mit Avenger löschen...

Online (virustotal) bitte diesen Treiber prüfen lassen:
C:\Windows\system32\drivers\afcekdny.sys

Danach wie vorgesehen noch MAM und Gmer...

chris

Habe jetzt 2 dateien namens desktop.ini auf dem Desktop, sind die wichtig???

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\system32\msxml71.dll" deleted successfully.
File "C:\Windows\msb.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Wed Aug 12 13:57:42 2009

13:57:42: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Kann die Datei leider net finden.

C:\Windows\system32\drivers\afcekdny.sys

es gibt nur eine afc.sys

Und im UploadChannel kann ich keine zip dateien hochladen, allerdings brauche ich um die avenger\backup.zip zu öffnen ein Passwort, welches ich nicht habe
--------------------------------------------------------------------
Das zeigt Gmer

GMER 1.0.15.15020 [1po54gtz.exe] - http://www.gmer.net
Rootkit quick scan 2009-08-12 14:26:44
Windows 6.0.6001 Service Pack 1


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 85AC11F8
Device \FileSystem\fastfat \Fat 87D371F8

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hi,

der Treiber ist gestoppt, läuft also nicht... es gibt aber sonst keine Infos über ihn und das ist verdächtig...

Okay, dann machen wir folgendes, lade die Datei bitte hier hier hoch und poste dann per pm den Link...

Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

Hallo, der Treiber : "afcekdny.sys" und auch "afc.sys" ist nicht mehr da????

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2610
Windows 6.0.6001 Service Pack 1

12.08.2009 15:31:50
mbam-log-2009-08-12 (15-31-50).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 250860
Laufzeit: 1 hour(s), 9 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Hi,

das mit den Tasks war zu erwarten...
Gmer zeigt kein Rootkit an, daher sollten die Treiberfiles tatsächlich nicht mehr da sein, nur die REG-Einträge zeigt RSIT noch an (wahrscheinlich eine unvollständige Deinstallation)...

Bitte noch ein RSIT, dann sollten wir eigentlich durch sein... (wenn sich in der Zwischenzeit nichts neues mehr eingenistet hat...)
Was macht der Rechner?

chris

Also es gab die ganze Zeit keine Probleme mehr.

Hi,

da ist noch ein seltsamer Mountpoint:

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{24108a83-8659-11de-9d09-a18763092753}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MANFRED-135A60E.vbs
         

Prüfe mal ob Du die Datei im windows bzw. windows\system32-Verzeichnis findest...
Poste mal den Inhalt als pm an mich...

Die nicht aufzufindenden Treiber gehören wahrscheinlich zu den Daemontools...

chris

Sorry, steh grad auf dem Schlauch. Welche Datei genau soll ich suchen???