Datei ICQ_Status_Checker.exe empfangen 2009.09.23 22:14:23 (UTC)
Status: Beendet
Ergebnis: 12/41 (29.27%)
Laden der Serverinformationen...


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.23 Virus.Win32.Icqpass!IK
AhnLab-V3 5.0.0.2 2009.09.23 -
AntiVir 7.9.1.23 2009.09.23 -
Antiy-AVL 2.0.3.7 2009.09.23 -
Authentium 5.1.2.4 2009.09.23 -
Avast 4.8.1351.0 2009.09.23 -
AVG 8.5.0.412 2009.09.23 -
BitDefender 7.2 2009.09.23 Trojan.Generic.658167
CAT-QuickHeal 10.00 2009.09.23 -
ClamAV 0.94.1 2009.09.23 -
Comodo 2417 2009.09.23 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.09.23 -
eSafe 7.0.17.0 2009.09.23 Suspicious File
eTrust-Vet 31.6.6757 2009.09.23 -
F-Prot 4.5.1.85 2009.09.23 -
F-Secure 8.0.14470.0 2009.09.23 -
Fortinet 3.120.0.0 2009.09.23 -
GData 19 2009.09.23 Trojan.Generic.658167
Ikarus T3.1.1.72.0 2009.09.23 Virus.Win32.Icqpass
Jiangmin 11.0.800 2009.09.23 -
K7AntiVirus 7.10.852 2009.09.23 -
Kaspersky 7.0.0.125 2009.09.23 -
McAfee 5750 2009.09.23 -
McAfee+Artemis 5750 2009.09.23 Artemis!788792FF216C
McAfee-GW-Edition 6.8.5 2009.09.23 Heuristic.LooksLike.Win32.Suspicious.B!85
Microsoft 1.5005 2009.09.23 -
NOD32 4451 2009.09.23 -
Norman 6.01.09 2009.09.23 W32/Delf.BUMR
nProtect 2009.1.8.0 2009.09.23 -
Panda 10.0.2.2 2009.09.23 Generic Trojan
PCTools 4.4.2.0 2009.09.23 -
Prevx 3.0 2009.09.24 Medium Risk Malware
Rising 21.48.24.00 2009.09.23 -
Sophos 4.45.0 2009.09.23 -
Sunbelt 3.2.1858.2 2009.09.23 -
Symantec 1.4.4.12 2009.09.23 Trojan Horse
TheHacker 6.5.0.2.015 2009.09.22 -
TrendMicro 8.950.0.1094 2009.09.23 -
VBA32 3.12.10.10 2009.09.23 -
ViRobot 2009.9.23.1950 2009.09.23 -
VirusBuster 4.6.5.0 2009.09.23 -
weitere Informationen
File size: 115200 bytes
MD5...: 788792ff216c7fdc658af6913e0466ae
SHA1..: 5634a98654f82dd722f4e74762f30faedaf16662
SHA256: 40a5a4f5f3e06c3364a7b58242a8652f9879ed89d85761729088439f40a1612b
ssdeep: 3072:UZ0XE+cr7FJ+iqPPsLZUdY8+K6ilG/aUJcU17c+2e:UZ00XrlqPPpY8kUb2
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x52001
timedatestamp.....: 0x461278ef (Tue Apr 03 15:55:27 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2d000 0xa800 7.99 b43d62bd9eefc4cc157dc433cb95816e
.data 0x2e000 0x2000 0x200 0.58 8968c4e30fdc2cd1e3ac0ba01f35cef4
.rsrc 0x30000 0x22000 0xd200 7.98 95c68b27ec9b69e702ea637010fe7260
.aspack 0x52000 0x4000 0x4000 5.20 aba57e3b994463232b065a0e9679c520
.adata 0x56000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 2 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> msvbvm60.dll: __vbaVarTstGt

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: murb
copyright....: Copyright (C) 2007 by murb
product......: ICQ Status Checker
description..: ICQ Status Checker 1.2
original name: ICQ Status Checker.exe
internal name: ICQ Status Checker
file version.: 1.2
comments.....: Freeware (www.murb.com _ www.icq-tools.de)
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=AA341EE20098BD36C27401A36855630024F7CEC2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=AA341EE20098BD36C27401A36855630024F7CEC2</a>
packers (Kaspersky): ASPack
packers (F-Prot): Aspack

Datei Vista_Skin_mc.exe empfangen 2009.09.23 22:17:57 (UTC)
Status: Beendet
Ergebnis: 10/41 (24.4%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.23 -
AhnLab-V3 5.0.0.2 2009.09.23 -
AntiVir 7.9.1.23 2009.09.23 -
Antiy-AVL 2.0.3.7 2009.09.23 -
Authentium 5.1.2.4 2009.09.23 -
Avast 4.8.1351.0 2009.09.23 -
AVG 8.5.0.412 2009.09.23 -
BitDefender 7.2 2009.09.24 Trojan.Generic.1744603
CAT-QuickHeal 10.00 2009.09.23 -
ClamAV 0.94.1 2009.09.23 -
Comodo 2417 2009.09.23 -
DrWeb 5.0.0.12182 2009.09.23 -
eSafe 7.0.17.0 2009.09.23 Suspicious File
eTrust-Vet 31.6.6757 2009.09.23 -
F-Prot 4.5.1.85 2009.09.23 -
F-Secure 8.0.14470.0 2009.09.23 -
Fortinet 3.120.0.0 2009.09.23 PossibleThreat
GData 19 2009.09.23 Trojan.Generic.1744603
Ikarus T3.1.1.72.0 2009.09.23 -
Jiangmin 11.0.800 2009.09.23 -
K7AntiVirus 7.10.852 2009.09.23 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.09.23 -
McAfee 5750 2009.09.23 W32/Generic.worm!im
McAfee+Artemis 5750 2009.09.23 Suspect-29!404EC8666920
McAfee-GW-Edition 6.8.5 2009.09.23 -
Microsoft 1.5005 2009.09.23 -
NOD32 4451 2009.09.23 -
Norman 6.01.09 2009.09.23 -
nProtect 2009.1.8.0 2009.09.23 -
Panda 10.0.2.2 2009.09.23 Trj/CI.A
PCTools 4.4.2.0 2009.09.23 -
Prevx 3.0 2009.09.24 Medium Risk Malware
Rising 21.48.24.00 2009.09.23 -
Sophos 4.45.0 2009.09.23 Mal/StartP-A
Sunbelt 3.2.1858.2 2009.09.23 -
Symantec 1.4.4.12 2009.09.24 -
TheHacker 6.5.0.2.015 2009.09.22 -
TrendMicro 8.950.0.1094 2009.09.23 -
VBA32 3.12.10.10 2009.09.23 -
ViRobot 2009.9.23.1950 2009.09.23 -
VirusBuster 4.6.5.0 2009.09.23 -
weitere Informationen
File size: 876544 bytes
MD5...: 404ec8666920c6ef8ec5c8a7c1cf2d3e
SHA1..: d159b5d72a5b1d061ecc7870ad5c73ccbe5f1206
SHA256: 7a6174da2963e7a4bc390f58446279a55735d365caa44e72f19a1c518109290b
ssdeep: 24576:B3YwdgCJy92gNNuluG+ZKC6b+SQINBovsz4W9pHAq4QaL3xh:BDgCJyAiK
Ca+SQ0BovszlpHAJL
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15d120
timedatestamp.....: 0x49355430 (Tue Dec 02 15:28:48 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x8a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8b000 0xd3000 0xd2400 7.80 0b1cf8132ae9dd355397338ac30a45ba
.rsrc 0x15e000 0x4000 0x3800 6.25 0bd4ddb166268726ee80d598c6f642e3

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=314DDB9D00178CF8608C0D24C2C2200015FBA562' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=314DDB9D00178CF8608C0D24C2C2200015FBA562</a>
sigcheck:
publisher....: ThinkLABs-ltd.
copyright....: (c) by ThinkLABs-ltd.
product......: Vista Skin Mc
description..: PreInstaller f_r Anwendung: Vista Skin Mc
original name: Vista Skin_mc.exe
internal name: Vista Skin_mc
file version.: 1.02
comments.....: AGB zum PreInstaller: http://yodl.de/href.php_hrefname_Preinstall_AGB
signers......: -
signing date.: -
verified.....: Unsigned

Prevx 3.0 zeigt wie activescan auf:

c:\wichtige programme\icq 6.5\vista skin_mc.exe

und außerdem noch auf:

c:\wichtige programme\icq 6.5\vista skin v3 new_mc.exe


alle icqtools sind von w*w.icq-tools.de hatte damit normal noch nie probleme!



hatte gestern auch den kaspersky online scan durchlafen lassen h**p://w*w.kaspersky.com/virusscanner da wurde auch nichts gefunden!

ich wundere mich nur warum firefox dann solche probleme nach dem besuch der seite hatte und warum sich firefox ohne die neuinstalltion nicht mehr starten ließ...

Habe diese beiden dateien gelöscht und danach prevx nochmal scannen lassen. Diesmal keine Funde mehr!

Ich lasse normal immer alle Dateien aus dem Internet mit Antivir und Malwarebytes scannen befor ich diese öffne, aber beide Programme haben bei diesen Dateien nichts angezeigt!

Zitat:

Habe diese beiden dateien gelöscht

Schade, die Erkennung von den AV-Programmen ist bei diesen Schädlingen nicht gerade berauschend, wie man sieht. Wir hätten die hier im Upload-Channel hochladen können, die wären dann an die meisten AV-Hersteller verschickt worden. Die Dateien sind nicht mehr aufzufinden, schätze ich? Na, egal...

Zitat:

ich wundere mich nur warum firefox dann solche probleme nach dem besuch der seite hatte und warum sich firefox ohne die neuinstalltion nicht mehr starten ließ..

Kaspersky-Scan braucht eigentlich den MSIE, es sei denn, du hast die Java-version benutzt. Das Ganze ist jedoch etwas merkwürdig, suchen wir sicherheitshalber nach Rootkits.

1)GMER - Rootkit Scanner nach Anleitung.

2)RootkitRevealer. Die zip-Datei in einen eigenen Ordner entpacken -> Das Programm starten (alle anderen Programme schließen) -> Scan -> Nach dem Scan -> File -> Save -> Log abspeicher und hier posten.

Außerdem sollten wir uns noch um deinen USB-Stick kümmern. Suche dort bitte folgende Dateien:

Zitat:

H:\Menu.exe
H:\start.exe
H:\LaunchU3.exe

Falls die Dateien noch vorhanden sind und du sie keinem eindeutig vertrauenswürdigen Programm zuordnen kannst, lade sie bitte bei VirusTotal hoch.

Zitat:

Ich lasse normal immer alle Dateien aus dem Internet mit Antivir und Malwarebytes scannen befor ich diese öffne, aber beide Programme haben bei diesen Dateien nichts angezeigt!

Alle AV-Programme hinken den Schädlingen zwei Schritte hinterher Eine absolute Sicherheit gibt es nicht.

Gruß
Kos

zum USB-stick:

die Datei H:\LaunchU3.exe ist vorhanden und virustotal hat nichts gefunden!
H:\Menu.exe
H:\start.exe
waren meines wissen noch nie vorhanden! der USB-stick ist ein SanDisk cruzer!
allerdings wurde der stick die letzten 2-3 monate nicht mehr benutzt!

Die beiden dateien von icq-tools die gemeldet wurden sind über ein jahr alt, der letzte zugriff war auch über ein halbes jahr her, müsste die malware dann nicht schon etwas bekannter sein?! Habe aber wegen diesen dateien noch nie probleme gehabt!

der GMER scan läuft schon über 6 stunden aber hoffe mal dass sich auch da nichts weiter finden lässt!

Zitat:

Die beiden dateien von icq-tools die gemeldet wurden sind über ein jahr alt, der letzte zugriff war auch über ein halbes jahr her, müsste die malware dann nicht schon etwas bekannter sein?!

Sind vielleicht auch nur Falschmeldungen.

Zitat:

der GMER scan läuft schon über 6 stunden aber hoffe mal dass sich auch da nichts weiter finden lässt!

Jepp. RootkitRevealer geht dann schneller - ist wie bei Panda und Prevx

ich denke und hoffe auch dass es falschmeldungen sind, eine freundin von mir ist das gleiche auch bei einem icqprogramm, dass den anzeigt wenn andere leute den status von einem lesen. dafür greift es natürlich auch etwas in die privatsphäre ein und wird von manchen antiviren programmen als trojaner oder virus angezeigt. da sie aber den entwickler kennt, der auch im entwicklerteam von icq ist, vertraut sie darauf dass keine malware enthalten ist. die bei mir angezeigten programme sind vom gleichen entwickler, daher hoffe ich darauf, dass es fehlermeldungen sind.

der GMER scan ist bei c:\windows also dem letzten ordner auf der festplatte ... wird nach 9 stunden aber auch zeit

Dann sitzt du ja praktisch an der Quelle Dem Entwicklerteam sollten evnt. Falschmeldungen zu ihren Programmen eig. geläufig sein.

Zitat:

wird nach 9 stunden aber auch zeit

Was lange währt, wird meistens gut... Oder so ähnlich

ja Sie will auchmal nachfragen ob das bekannt ist bei dem programm. wenn ich was weiß werde ich es mal hier schreiben falls sowas bei irgendjemand nochmal vorkommt könnte aber auch sein, dass sie das programm nochmal überarbeitet haben und die meldungen gar nicht mehr kommen..

endlich ganze 10 stunden arbeit! der nächste scan von RootkitRevealer kommt hoffentlich schneller


GMER 1.0.15.15087 - h**p://www.gmer.net
Rootkit scan 2009-09-24 21:30:38
Windows 5.1.2600 Service Pack 3
Running: g6e97mow.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\ugldqpow.sys


---- System - GMER 1.0.15 ----

SSDT BAF944F6 ZwCreateKey
SSDT BAF944EC ZwCreateThread
SSDT BAF944FB ZwDeleteKey
SSDT BAF94505 ZwDeleteValueKey
SSDT BAF9450A ZwLoadKey
SSDT BAF944D8 ZwOpenProcess
SSDT BAF944DD ZwOpenThread
SSDT BAF94514 ZwReplaceKey
SSDT BAF9450F ZwRestoreKey
SSDT BAF94500 ZwSetValueKey
SSDT BAF944E7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[2828] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \Driver\prodrv06 \Device\ProDrv06 E196AC30

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-6 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E169DAD8
Device \Driver\m5287 \Device\Scsi\m52871Port2Path0Target2Lun0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\m5287 \Device\Scsi\m52871Port2Path0Target0Lun0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\m5287 \Device\Scsi\m52871 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Zitat:

der nächste scan von RootkitRevealer kommt hoffentlich schneller

Jepp, der sollte schneller als GMER sein

In dem von GMER kann ich übrigens nichts Verdächtiges erkennen.

Gruß
Kos

schonmal zu den icq-tools:
das es nur fehlermeldungen sind aber nichts ernstes stimmt wohl zu 90% offizielle bestätigung vom icq entwicklerteam habe jedoch ich noch nicht. die e "malware" fehler werden auch nur in der setup datei angezeigt, hat man das programm installiert treten keine fehler mehr auf und es kommen keine warnungen mehr, soviel steht schonmal fest, wenn ich was neues weiß werde ich es auf jedenfall berichten

Zitat:

Zitat von kaltron

schonmal zu den icq-tools:
das es nur fehlermeldungen sind aber nichts ernstes stimmt wohl zu 90% offizielle bestätigung vom icq entwicklerteam habe jedoch ich noch nicht. die e "malware" fehler werden auch nur in der setup datei angezeigt, hat man das programm installiert treten keine fehler mehr auf und es kommen keine warnungen mehr, soviel steht schonmal fest, wenn ich was neues weiß werde ich es auf jedenfall berichten

Alles klar, danke

und das hoffentlich letzte logfile vielen dank schonmal für deine hilfe!! hoffentlich lässt sich jetzt hier auch nicht mehr finden^^


HKU\S-1-5-21-299502267-1935655697-839522115-1003\Software\Adobe\MediaBrowser\MRU\illustrator\ApplicationPath 13.02.2009 16:51 87 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-299502267-1935655697-839522115-1003\Software\SecuROM\License information* 08.09.2009 16:29 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 19.01.2008 11:34 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 19.01.2008 11:34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\ 11.05.2009 16:25 19 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{2F7D1D83-2678-4668-9EF4-50C7F0461E05}\Desc 22.06.2009 00:32 45 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{2F7D1D83-2678-4668-9EF4-50C7F0461E05}\Icon 22.06.2009 00:32 41 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet003\Control\StillImage\Events\STIProxyEvent\{2F7D1D83-2678-4668-9EF4-50C7F0461E05}\Desc 22.06.2009 00:32 45 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet003\Control\StillImage\Events\STIProxyEvent\{2F7D1D83-2678-4668-9EF4-50C7F0461E05}\Icon 22.06.2009 00:32 41 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\~DF1347.tmp 24.09.2009 21:45 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\~DF135B.tmp 24.09.2009 21:45 512 bytes Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{3D93305F-3795-4A67-A595-0F33641DF711}\RP1\A0003042.csi 24.09.2009 08:05 3.31 MB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 08.08.2009 12:47 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 08.08.2009 12:47 111.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 08.08.2009 12:47 8.00 KB Visible in Windows API, but not in MFT or directory index.