|
Log-Analyse und Auswertung: roore.ws/1.exe trotz KasperskyISWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.11.2009, 08:28 | #16 |
| roore.ws/1.exe trotz KasperskyIS Hi, CF ist nicht nur ein Scanner, er versucht auch alles was er findet gerade zu biegen (ist unsere Vielzweckwaffe). Nebenbei erstellt er ein aussagekräftiges Log, darin kann man dann versuchen noch was zu finden. Bei Dir war ein Low-Level-Treiber für die Festplatte verseucht. Der hat alle Leseanweisungen überwacht, und wenn er selbst (das Rootkit) gelesen werden sollte, hat er sich einfach ausgeblendet. Daher konnte kein Scanner, der mit Windows-Boardmittlen liest, das Teil finden. Bitte wie folgt vorgehen: Inhalt im Verzeichnis C:\Qoobox (Backupverzeichnis von CF) mit einem Zipper packen und mit Passwort "virus" versehen. Folge dann dem Punkt 2 unter: http://www.trojaner-board.de/54791-a...ner-board.html Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\drivers\sbapifs.sys c:\windows\system32\drivers\SBREDrv.sys c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe Folders to delete: c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. So, das hier als MacroMediaWeg.reg auf dem Desktop speichern (Start->Ausführen->Editor, dort den Text reinkopieren und als MacroMediaWeg.reg auf dem Desktop speichern, nicht als .txt): Code:
ATTFilter REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "midi1"=- "wave1"=- "aux1"=- "mixer1"=- "aux2"=- "midi2"=- "wave2"=- "mixer2"=- Jetzt MAM updaten und nochmal komplett über den Rechner jagen... Danach bitte CF deinstallieren (Start->Ausführen combofix /u), neu runterladen und laufen lassen... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (09.11.2009 um 09:26 Uhr) |
09.11.2009, 22:39 | #17 |
| roore.ws/1.exe trotz KasperskyIS Hallo, da ist ja eine Menge zu tun! Ich fürchte, heute abend /nacht schaff ich das nicht mehr. Ich hatte vorhin ein wenig in den KIS-Firewall Einstellungen reingeguckt. Bin da auch manches gestoßen, was mir verdächtig vorkommt. Siehe Screenshots. Hab das gleich unschädlich geschaltet. Ist das ok so? Oder war da was wirklich wichtiges dabei? Auch hat mir CCleaner was seltsames angezeigt. Das wollte er löschen und ich hab das zugelassen. Siehe anderen Screenshot. Virustotal-Logs: SBREDrv.sys Datei SBREDrv.sys empfangen 2009.11.09 21:06:30 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.09 - AhnLab-V3 5.0.0.2 2009.11.06 - AntiVir 7.9.1.61 2009.11.09 - Antiy-AVL 2.0.3.7 2009.11.09 - Authentium 5.2.0.5 2009.11.09 - Avast 4.8.1351.0 2009.11.09 - AVG 8.5.0.423 2009.11.09 - BitDefender 7.2 2009.11.09 - CAT-QuickHeal 10.00 2009.11.09 - ClamAV 0.94.1 2009.11.09 - Comodo 2899 2009.11.09 - DrWeb 5.0.0.12182 2009.11.09 - eTrust-Vet 35.1.7111 2009.11.09 - F-Prot 4.5.1.85 2009.11.09 - F-Secure 9.0.15370.0 2009.11.09 - Fortinet 3.120.0.0 2009.11.09 - GData 19 2009.11.09 - Ikarus T3.1.1.74.0 2009.11.09 - Jiangmin 11.0.800 2009.11.09 - K7AntiVirus 7.10.892 2009.11.09 - Kaspersky 7.0.0.125 2009.11.09 - McAfee 5797 2009.11.09 - McAfee+Artemis 5797 2009.11.09 - McAfee-GW-Edition 6.8.5 2009.11.09 - Microsoft 1.5202 2009.11.09 - NOD32 4589 2009.11.09 - Norman 6.03.02 2009.11.09 - nProtect 2009.1.8.0 2009.11.09 - Panda 10.0.2.2 2009.11.09 - PCTools 7.0.3.5 2009.11.09 - Prevx 3.0 2009.11.09 - Rising 22.21.00.08 2009.11.09 - Sophos 4.47.0 2009.11.09 - Sunbelt 3.2.1858.2 2009.11.09 - Symantec 1.4.4.12 2009.11.09 - TheHacker 6.5.0.2.063 2009.11.06 - TrendMicro 9.0.0.1003 2009.11.09 - VBA32 3.12.10.11 2009.11.09 - ViRobot 2009.11.9.2027 2009.11.09 - VirusBuster 4.6.5.0 2009.11.09 - weitere Informationen File size: 93872 bytes MD5...: e121185abcc7f6f2875843ed3236d245 SHA1..: ffeeb1901c66fe2fc2c83886298adda1a2c9ba8b SHA256: 488ba5831af926c951a3b159f492c2e26a8cc62b9f4485f9944c24ec054d6ecb ssdeep: 1536:jSmugI790GP4TWuaqjM7lW90kpStZjKd/YknMPJ8LRi5:j2gIeGP4qpq4E0 kktgd/Y6cx PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x12f85 timedatestamp.....: 0x4a7890af (Tue Aug 04 19:49:03 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0xcee9 0xcf00 6.40 4e3f07330b683b10a8a6b7d0f662dbc7 .rdata 0xd380 0x2f7c 0x2f80 5.04 cd91fb1c41df701d4dcf58a040cbc7ff .data 0x10300 0x2c09 0x2c80 0.44 52f0e15d59ae91bb1ab93e50a4421ee8 INIT 0x12f80 0x9dc 0xa00 5.59 69e2e2f8f26ccd5fdcf908748d3c685c .rsrc 0x13980 0x504 0x580 3.78 cc9fa0665daa793f0fe04a014de181ed .reloc 0x13f00 0x1546 0x1580 6.29 a588eec17ef37a44d009d22cb5dbd0b4 ( 2 imports ) > ntoskrnl.exe: ExFreePoolWithTag, ZwWriteFile, ExAllocatePool, RtlInitUnicodeString, IoFreeIrp, IoFreeMdl, KeSetEvent, KeWaitForSingleObject, KeInitializeEvent, KeGetCurrentThread, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoAllocateMdl, memcpy, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, ObfDereferenceObject, KeReleaseSemaphore, RtlUnicodeStringToAnsiString, ZwCreateFile, ObReferenceObjectByHandle, ObOpenObjectByPointer, ZwSetInformationFile, ZwOpenFile, PsLookupProcessByProcessId, MmIsAddressValid, KeServiceDescriptorTable, PsTerminateSystemThread, KeSetPriorityThread, PsCreateSystemThread, KeInitializeSemaphore, wcsstr, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, strrchr, KeBugCheckEx, _wcsnicmp, IoGetBaseFileSystemDeviceObject, IofCallDriver, KeUnstackDetachProcess, KeStackAttachProcess, RtlCompareUnicodeString, ZwQueryObject, ZwDuplicateObject, ZwOpenProcess, PsGetCurrentProcessId, ZwQuerySystemInformation, strncmp, ZwReadFile, strncpy, _vsnprintf, _snprintf, RtlTimeToTimeFields, ExSystemTimeToLocalTime, KeQuerySystemTime, _stricmp, _strnicmp, RtlCopyUnicodeString, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, _snwprintf, KeDetachProcess, KeAttachProcess, MmMapLockedPagesSpecifyCache, MmGetPhysicalAddress, PsLookupThreadByThreadId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, _strupr, _strlwr, KeDelayExecutionThread, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp, _wcsicmp, wcsrchr, strchr, strstr, RtlAppendUnicodeToString, KeClearEvent, IoCreateNotificationEvent, IoDeviceObjectType, ZwQuerySection, RtlInitString, ZwRequestWaitReplyPort, ZwConnectPort, KeTickCount, memset, ZwQueryInformationFile, IoGetCurrentProcess, ZwClose, IoGetLowerDeviceObject, RtlUnwind, IoReleaseCancelSpinLock > HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (51.1%) Win16/32 Executable Delphi generic (12.4%) Clipper DOS Executable (12.1%) Generic Win/DOS Executable (12.0%) DOS Executable Generic (12.0%) sigcheck: publisher....: Sunbelt Software copyright....: Copyright (c) 2002-2006 Sunbelt Software. All rights reserved. product......: CounterSpy description..: Anti-Rootkit Engine original name: SBRE.sys internal name: SBRE.sys file version.: 3.1.2819 comments.....: n/a signers......: SUNBELT SOFTWARE DISTRIBUTION VeriSign Class 3 Code Signing 2004 CA Class 3 Public Primary Certification Authority signing date.: 3:24 PM 8/5/2009 verified.....: - ------------------------------EoF-------------------- 0b30a0141.dll Datei 0b30a0141.dll empfangen 2009.11.09 21:10:51 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/40 (5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.09 - AhnLab-V3 5.0.0.2 2009.11.06 - AntiVir 7.9.1.61 2009.11.09 - Antiy-AVL 2.0.3.7 2009.11.09 - Authentium 5.2.0.5 2009.11.09 - Avast 4.8.1351.0 2009.11.09 - AVG 8.5.0.423 2009.11.09 Agent_r.PA BitDefender 7.2 2009.11.09 - CAT-QuickHeal 10.00 2009.11.09 - ClamAV 0.94.1 2009.11.09 - Comodo 2899 2009.11.09 - DrWeb 5.0.0.12182 2009.11.09 - eTrust-Vet 35.1.7111 2009.11.09 - F-Prot 4.5.1.85 2009.11.09 - F-Secure 9.0.15370.0 2009.11.09 - Fortinet 3.120.0.0 2009.11.09 - GData 19 2009.11.09 - Ikarus T3.1.1.74.0 2009.11.09 - Jiangmin 11.0.800 2009.11.09 - K7AntiVirus 7.10.892 2009.11.09 - Kaspersky 7.0.0.125 2009.11.09 - McAfee 5797 2009.11.09 - McAfee+Artemis 5797 2009.11.09 - McAfee-GW-Edition 6.8.5 2009.11.09 - Microsoft 1.5202 2009.11.09 - NOD32 4589 2009.11.09 - Norman 6.03.02 2009.11.09 - nProtect 2009.1.8.0 2009.11.09 - Panda 10.0.2.2 2009.11.09 - PCTools 7.0.3.5 2009.11.09 - Prevx 3.0 2009.11.09 - Rising 22.21.00.08 2009.11.09 - Sophos 4.47.0 2009.11.09 Troj/Riern-Fam Sunbelt 3.2.1858.2 2009.11.09 - Symantec 1.4.4.12 2009.11.09 - TheHacker 6.5.0.2.063 2009.11.06 - TrendMicro 9.0.0.1003 2009.11.09 - VBA32 3.12.10.11 2009.11.09 - ViRobot 2009.11.9.2027 2009.11.09 - VirusBuster 4.6.5.0 2009.11.09 - weitere Informationen File size: 101888 bytes MD5...: 922bfbd5aaa089f78f8eeb0ad2482798 SHA1..: 31bc216620aab4fef77b3b5e5a99728c3ad41114 SHA256: 9e6afcd4c541cbd4a1eb3a7727d925dc566da7a7e4c6f7476096a680f8514dcb ssdeep: 1536:jSHB0vX6Roc9aV1S2hfoWYYooZja+OSrLWd109eMctT7EIADkil+W2WNiD1 AkvnY:nv6RN0a2h+KjlA21whVil+WVANh PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10981 timedatestamp.....: 0x4aea14b9 (Thu Oct 29 22:18:33 2009) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1231e 0x12400 6.21 dd73ad3b8dc33df208a19b07741ee4e8 .rdata 0x14000 0x7f4 0x800 5.37 378d1c36875515120820abbc6c13358f .data 0x15000 0x57c0 0x4e00 6.05 57f42d0f505fd3dbde95dc8dae0a5762 .reloc 0x1b000 0xf1e 0x1000 6.17 5b4c84e9cec221248e25e2c456f67f58 ( 1 imports ) > KERNEL32.dll: TerminateThread, VirtualAlloc, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, RtlUnwind ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) -----------------------------------EoF---------------- Da ich schon dabei war, hab ich gleich die Datei c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a01419.exe scannen lassen. Diese und die o.g. dll-Datei sind die einzigen Dateien im Ordner "Common". Sieht auch nicht gut aus: 0b30a01419.exe Datei 0b30a01419.exe empfangen 2009.11.09 21:15:54 (UTC) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.09 - AhnLab-V3 5.0.0.2 2009.11.06 - AntiVir 7.9.1.61 2009.11.09 - Antiy-AVL 2.0.3.7 2009.11.09 - Authentium 5.2.0.5 2009.11.09 - Avast 4.8.1351.0 2009.11.09 - AVG 8.5.0.423 2009.11.09 PSW.Agent.ADKI BitDefender 7.2 2009.11.09 - CAT-QuickHeal 10.00 2009.11.09 - ClamAV 0.94.1 2009.11.09 - Comodo 2899 2009.11.09 - DrWeb 5.0.0.12182 2009.11.09 - eTrust-Vet 35.1.7111 2009.11.09 - F-Prot 4.5.1.85 2009.11.09 - F-Secure 9.0.15370.0 2009.11.09 Trojan:W32/Riern.B Fortinet 3.120.0.0 2009.11.09 - GData 19 2009.11.09 - Ikarus T3.1.1.74.0 2009.11.09 - Jiangmin 11.0.800 2009.11.09 - K7AntiVirus 7.10.892 2009.11.09 - Kaspersky 7.0.0.125 2009.11.09 - McAfee 5797 2009.11.09 - McAfee+Artemis 5797 2009.11.09 - McAfee-GW-Edition 6.8.5 2009.11.09 - Microsoft 1.5202 2009.11.09 - NOD32 4589 2009.11.09 Win32/Agent.QHS Norman 6.03.02 2009.11.09 - nProtect 2009.1.8.0 2009.11.09 - Panda 10.0.2.2 2009.11.09 Trj/Sinowal.WOS PCTools 7.0.3.5 2009.11.09 - Prevx 3.0 2009.11.09 Medium Risk Malware Rising 22.21.00.08 2009.11.09 - Sophos 4.47.0 2009.11.09 - Sunbelt 3.2.1858.2 2009.11.09 - Symantec 1.4.4.12 2009.11.09 - TheHacker 6.5.0.2.063 2009.11.06 - TrendMicro 9.0.0.1003 2009.11.09 - VBA32 3.12.10.11 2009.11.09 - ViRobot 2009.11.9.2027 2009.11.09 - VirusBuster 4.6.5.0 2009.11.09 - weitere Informationen File size: 16384 bytes MD5...: 0cb97e5ad1c242e2d682deb3dc606888 SHA1..: 4e363b3fc7e5c953b1ab92dd65036e7327c894bc SHA256: d8fab2b362fb5f8b165f869472f569b431e9372443d890f254186f509d55dcf1 ssdeep: 384:+aib4iAgY7Avc+x2mlm1Lh1sype+SoEglZH9:Zib4iAgY7B+xcJs42FglH PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x134f timedatestamp.....: 0x4aea14b4 (Thu Oct 29 22:18:28 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2b9e 0x2c00 6.56 60c373bc0c8dc6c17965d3f7dace9cf0 .rdata 0x4000 0x736 0x800 4.97 dfd28a1990c2ecc325ca747cccd278c7 .data 0x5000 0xc5c 0x800 4.30 f64b97fa7120cb97e30c275e7aae68f6 ( 1 imports ) > KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C5E66E9700373286402500E97C5547006538C3B4' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C5E66E9700373286402500E97C5547006538C3B4</a> ------------------------EdF---------------- Die Datei c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe bereitet mit genau wie die erste in der Liste, c:\windows\system32\drivers\sbapifs.sys, Kopfzerbrechen. Ich kann sie zwar im Windows-Explorer finden, aber nichtim Upload-Fenster für virustotal. Siehe Screensot. Werden diese Dateien absichtlich versteckt? Jetzt muss ich aber ins Bett. Gute Nacht und vielen Dank! Ich mach morgen mit dem schwierigeren Teil weiter. |
10.11.2009, 21:20 | #18 | ||
| roore.ws/1.exe trotz KasperskyIS Hallo,
__________________wollte gerade meine qoobox.zip-Datei wie beschrieben hochladen. Zitat:
Was mach ich nun? Kann ich eigentlich die Dateien Zitat:
Und kann ich die bösen Dateien nicht gleich mit Eraser zerstören? Ich glaub, darauf kenn ich die Antwort: Sie werden wiederhergestellt, woher auch immer. Werd mir gleich Avenger runterladen, aber mit dem Ausführen warten, bis du mir gesagt hast, was ich mit der qoobox.zip anstellen soll. Bis bald! |
12.11.2009, 08:12 | #19 |
| roore.ws/1.exe trotz KasperskyIS Hi, nircmd.exe gehört zu comboFix... Bitte umgehend das Avenger-Script und die Registerybereinigung abfackeln und danach MAM updaten und noch mal laufen lassen, um die Reste vom Silentbanker (das Macromedia-Teil) loszuwerden. Danach ComboFix deinstallieren (Start->Ausführen->combofix /u), neu runterladen, offline gehen und ihn laufen lassen. Log posten... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
12.11.2009, 18:56 | #20 | |
| roore.ws/1.exe trotz KasperskyIS Hallo Chris, schön, dass du wieder (für mich) da bist. Hab Avenger laufen lassen, Report hier: Zitat:
MaM läuft gerade. Das dauert ja ein Weilchen, jedenfalls der volle Scan. Kann ich ComboFix auch über was anderes deinstallieren? Mit der "Ausführen"-Box kenn ich mich nicht aus. Damit kann ich nicht mal den Editor starten. Vielleicht find ich ComboFix im CCleaner? Bist du guter Hoffnung, dass der ganze Müll von meiner Festplatte durch deine Maßnahmen verschwinden wird? Das wär toll. Bis gleich, icke. |
13.11.2009, 08:04 | #21 |
| roore.ws/1.exe trotz KasperskyIS Hi, der Ton ist weg, weil das Teil sich als diese Treiber hat registrieren lassen (d. h. Du hast das Teil seid der Ton weg war!)... Die verseuchten Reg.-Einträge habe ich über das Script endgelöst, so dass Du die Treiber neu installieren musst... (sollte hoffentlich kein Problem sein)... Bitte noch einmal MAM updaten und laufen lassen... Danach noch SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Was treibt der Rechner so? chris
__________________ --> roore.ws/1.exe trotz KasperskyIS |
13.11.2009, 17:29 | #22 | |
| roore.ws/1.exe trotz KasperskyIS Hallo, aha, über den Ton hat sich der Mistkerl eingenistet. Na da werd ich mal die CD meiner Soundkarte suchen. Hier ist der Report von MaM gleich nach dem Laufen von Avenger und dem Registrieren der reg-datei: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3155 Windows 5.1.2600 Service Pack 2 12.11.2009 19:19:57 mbam-log-2009-11-12 (19-19-57).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|) Durchsuchte Objekte: 192811 Laufzeit: 37 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wab (Trojan.Dropper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\0b30a01419.exe (Trojan.Dropper) -> Quarantined and deleted successfully. --------------------EoF--------------- Gleich danach hab ich MaM nochmal laufen lassen: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3155 Windows 5.1.2600 Service Pack 2 12.11.2009 20:38:09 mbam-log-2009-11-12 (20-38-09).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|) Durchsuchte Objekte: 192675 Laufzeit: 35 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------EoF------------------- ComboFix hab ich wirklich nach deiner Anleitung deinstalliert bekommen Und danch neu runtergeladen und laufen lassen: (dieses "NewlyCreated* - SBAPIFS" gefält mir gar nicht) ComboFix 09-11-13.02 - Besitzer 12.11.2009 21:35.3.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1471.1028 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\Test.exe.exe AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C} AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . H:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2009-10-12 bis 2009-11-12 )))))))))))))))))))))))))))))) . 2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys 2009-11-06 08:18 . 2009-11-06 09:19 -------- d-----w- C:\VIPRERESCUE 2009-11-02 20:38 . 2009-11-02 20:34 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys 2009-11-02 20:32 . 2009-11-02 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.housecall6.6 2009-11-01 13:19 . 2009-11-01 13:19 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes 2009-11-01 13:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-11-01 13:18 . 2009-11-01 13:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-01 13:18 . 2009-11-01 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-11-01 13:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy) 2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy) 2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy) 2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy) 2009-10-24 07:10 . 2009-10-24 07:10 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys 2009-10-24 07:10 . 2009-10-24 07:10 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys 2009-10-24 07:09 . 2009-10-24 07:09 787000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI\~PrevxCSIUpdate.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-12 20:09 . 2009-06-22 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-11-12 20:07 . 2009-06-22 15:17 319520 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-11-12 20:07 . 2009-06-22 15:17 2172 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-11-12 20:07 . 2009-06-22 15:17 2050080 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-11-12 20:07 . 2009-06-22 15:17 19192 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-11-09 22:14 . 2006-10-17 11:41 -------- d-----w- c:\programme\Zoom Player 2009-11-09 17:16 . 2006-10-12 09:52 40616 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat 2009-11-02 09:06 . 2009-06-30 21:08 117760 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-10-25 22:05 . 2008-09-01 19:01 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-10-25 21:53 . 2008-09-01 19:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-10-25 07:40 . 2004-11-11 12:00 48276 ----a-w- c:\windows\system32\perfc007.dat 2009-10-25 07:40 . 2004-11-11 12:00 316942 ----a-w- c:\windows\system32\perfh007.dat 2009-10-24 07:27 . 2008-09-04 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI 2009-10-18 20:27 . 2008-09-03 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-10-14 18:44 . 2009-06-22 15:21 95259 ----a-w- c:\windows\system32\drivers\klick.dat 2009-10-14 18:44 . 2009-06-22 15:21 108059 ----a-w- c:\windows\system32\drivers\klin.dat 2009-10-11 08:06 . 2009-10-11 08:06 -------- d-----w- c:\programme\Gigaflat 2009-10-07 13:41 . 2009-10-07 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS 2009-09-07 12:02 . 2007-08-27 09:26 27944 ----a-w- c:\windows\system32\SBBD.exe 2009-08-30 18:42 . 2009-08-30 18:42 59920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll 2009-08-30 18:42 . 2009-08-30 18:42 109072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll 2004-03-11 12:27 . 2007-01-19 16:56 40960 ----a-w- c:\programme\Uninstall_CDS.exe 2006-05-03 10:06 . 2008-05-18 15:59 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2008-05-18 15:59 31232 --sh--r- c:\windows\system32\msfDX.dll 2007-12-17 13:43 . 2008-05-18 15:59 27648 --sh--w- c:\windows\system32\Smab0.dll . ------- Sigcheck ------- [-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys [-] 2004-11-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-18 2000112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272] "mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264] "SBCSTray"="c:\programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 698864] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616] " Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616] "C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2007-08-14 1228800] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2009-10-11 17:22 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 16:29 33808] R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.10.2009 08:10 22024] R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.10.2009 08:10 27656] R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [26.03.2008 12:53 15544] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [19.08.2008 22:34 9968] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [19.08.2008 22:34 74480] R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [06.11.2009 09:18 93872] R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 17:02 26640] R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [19.08.2008 22:34 7408] R3 SBAPIFS;SBAPIFS;\??\c:\windows\system32\drivers\sbapifs.sys --> c:\windows\system32\drivers\sbapifs.sys [?] S3 EC168BDA;EC168BDA service;c:\windows\system32\drivers\EC168BDA.sys [09.11.2008 13:28 87296] S3 ptiusbf;PTI USB Filter;c:\windows\system32\drivers\ptiusbf.sys [14.04.2001 00:22 22474] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - SBAPIFS *Deregistered* - mbr *Deregistered* - PROCEXP113 . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank mStart Page = about:blank FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de&source=iglk FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-12 21:40 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(716) c:\windows\system32\sfc_os.dll c:\programme\SUPERAntiSpyware\SASWINLO.DLL . Zeit der Fertigstellung: 2009-11-12 21:42 ComboFix-quarantined-files.txt 2009-11-12 20:42 ComboFix2.txt 2009-11-09 17:30 Vor Suchlauf: 10 Verzeichnis(se), 22.440.562.688 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 22.413.017.088 Bytes frei - - End Of File - - CB8A658906637356C3A98067DC434F61 PrevX hatte doch noch Grund zur Klage (Screenshot) Zitat:
virustotal sagt zu dieser Datei: Datei WILX34I.DLL empfangen 2009.11.13 16:16:52 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/41 (4.88%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.13 - AhnLab-V3 5.0.0.2 2009.11.13 - AntiVir 7.9.1.65 2009.11.13 - Antiy-AVL 2.0.3.7 2009.11.13 - Authentium 5.2.0.5 2009.11.13 - Avast 4.8.1351.0 2009.11.13 - AVG 8.5.0.425 2009.11.13 - BitDefender 7.2 2009.11.13 - CAT-QuickHeal 10.00 2009.11.13 - ClamAV 0.94.1 2009.11.13 - Comodo 2943 2009.11.13 - DrWeb 5.0.0.12182 2009.11.13 - eSafe 7.0.17.0 2009.11.12 - eTrust-Vet 35.1.7119 2009.11.13 - F-Prot 4.5.1.85 2009.11.13 - F-Secure 9.0.15370.0 2009.11.11 - Fortinet 3.120.0.0 2009.11.13 - GData 19 2009.11.13 - Ikarus T3.1.1.74.0 2009.11.13 - Jiangmin 11.0.800 2009.11.12 - K7AntiVirus 7.10.896 2009.11.13 - Kaspersky 7.0.0.125 2009.11.13 - McAfee 5800 2009.11.12 - McAfee+Artemis 5800 2009.11.12 Artemis!463C16D4F2B2 McAfee-GW-Edition 6.8.5 2009.11.13 - Microsoft 1.5202 2009.11.13 - NOD32 4604 2009.11.13 - Norman 6.03.02 2009.11.13 - nProtect 2009.1.8.0 2009.11.13 - Panda 10.0.2.2 2009.11.13 - PCTools 7.0.3.5 2009.11.13 - Prevx 3.0 2009.11.13 Medium Risk Malware Rising 22.21.04.09 2009.11.13 - Sophos 4.47.0 2009.11.13 - Sunbelt 3.2.1858.2 2009.11.12 - Symantec 1.4.4.12 2009.11.13 - TheHacker 6.5.0.2.067 2009.11.12 - TrendMicro 9.0.0.1003 2009.11.13 - VBA32 3.12.10.11 2009.11.13 - ViRobot 2009.11.13.2035 2009.11.13 - VirusBuster 4.6.5.0 2009.11.13 - weitere Informationen File size: 25984 bytes MD5...: 463c16d4f2b291663ec8473e55a7fb60 SHA1..: 30396ec7e86537523436fcfc28c7419dc79cf791 SHA256: 826c4d5afa6cb6e20d17ce1da1b880827cf7d32e337a77dcaf8e282ea51ecbc5 ssdeep: 768:80Fz7CBeDucpqpcJQqK7S39NuF9WvLmdb:9oeaO9JVK4v4b PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xe10a timedatestamp.....: 0x3e02329c (Thu Dec 19 20:57:00 2002) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4e00 0x4e00 6.77 bde54932578d23e2983e6c3255abd835 .rdata 0x6000 0xc00 0xc00 2.52 040cfe68d6c4b7f87df00f5bd6987ddc .data 0x7000 0x45d8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b .rsrc 0xc000 0xbd0 0x600 3.29 bd9b01cb92656312b09f696031159349 Oreloc 0xd000 0x800 0x800 1.89 4b51621564ffa15ffe5fcded674378e2 .neolit 0xe000 0x18ea 0x1a00 6.49 98146d643b19ed846f62e355d50cef63 .reloc 0x10000 0xdc 0x200 3.24 6ef62733de7a3720f3d5e8aa3c2eb561 ( 2 imports ) > KERNEL32.dll: GetProcAddress, LoadLibraryA > USER32.dll: GetWindowTextA ( 2 exports ) _WILExtender2@40, _WILExtenderQuery@12 RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) packers (Kaspersky): NeoLite packers (F-Prot): Neolite sigcheck: publisher....: Wilson WindowWare, Inc. copyright....: Copyright (c) 1994-2003 Wilson WindowWare, Inc. All rights reserved. product......: WIL WILX Extender DLL description..: WIL WILX Extender DLL original name: n/a internal name: WILX Extender file version.: 39000 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9</a> ---------------EoF------------------- Silentrunner werd ich gleich runterladen und anwerfen. Mal sehen was da rauskommt. Tja, der Computer an sich läuft jetzt ohne Mucken, zuvor ist er immer langsamer geworden, je länger ich online war. Was da unter der Haube läuft, kann ich natürlich nicht beurteilen. Übrigens hat sich Combofix bei jedem Sart beschwert, dass da noch AVIRA aktiv wäre. (Screenshot). Den Virenscanner hab ich aber längst nicht mehr auf dem Rechner. Dachte auch, dass CCleaner alle Reste entfernt hätte. Und was hat es mit der Wiederherstellungskonsole auf sich? Nach der verlangt Combofix ja immer wieder. Übrigens hat mir eines der Tools (ich vermute Combofix), einiges in Windows verändert: versteckte Dateien werden nicht angezeigt, IE ist aktiv, Sicherheitscenter auch. Hab was über SilentBanker gelesen: Wenn das wirklich der Bösewicht war, hab ich gut daran getan, seitdem ich bemerkt hatte, das da was schief läuft, auf OnlineBanking zu verzichten. Muss wohl trotzdem die Kontoauszüge kontrollieren. Bis bald! |
13.11.2009, 21:10 | #23 |
| roore.ws/1.exe trotz KasperskyIS Hallo, silentrunner ergab dieses: "Silent Runners.vbs", revision 60, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SUPERAntiSpyware" = "C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" ["SUPERAntiSpyware.com"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Nero AG"] "mxomssmenu" = ""C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"" ["Maxtor Corporation"] "SBCSTray" = "C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" ["Sunbelt Software"] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"" ["Kaspersky Lab"] " Malwarebytes Anti-Malware (reboot)" = ""C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript" ["Malwarebytes Corporation"] HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS] >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}\(Default) = "IEVkbdBHO" -> {HKLM...CLSID} = "IEVkbdBHO Class" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll" ["Kaspersky Lab"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW" -> {HKLM...CLSID} = "Shell Extension for CDRW" \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"] "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu" -> {HKLM...CLSID} = "IZArc DragDrop Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter" -> {HKLM...CLSID} = "dMCIShell Class" \InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dMCShell.dll" ["Illustrate"] "{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider" -> {HKLM...CLSID} = "Haali Column Provider" \InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data] "{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für den Schutz des Web-Datenverkehrs" -> {HKLM...CLSID} = "Statistik für den Schutz des Web-Datenverkehrs" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> !SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.DLL" ["SUPERAntiSpyware.com"] <<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\DragDropHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] IZArcCM\(Default) = "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" -> {HKLM...CLSID} = "IZArc DragDrop Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\ 00nView\(Default) = "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] InCDMenu\(Default) = "{950FF917-7A57-46BC-8017-59D9BF474000}" -> {HKLM...CLSID} = "Shell Extension for CDRW" \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"] NvCplDesktopContext\(Default) = "{A70C977A-BF00-412C-90B7-034C51DA2439}" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider" -> {HKLM...CLSID} = "Haali Column Provider" \InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] {FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler" -> {HKLM...CLSID} = "dBpShell Class" \InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dBShell.dll" ["Illustrate"] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ShellEx.dll" ["Kaspersky Lab"] MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\ Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] IZArcCM\(Default) = "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" -> {HKLM...CLSID} = "IZArc DragDrop Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Default executables: -------------------- <<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile" Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "DisableRegistryTools" = (REG_DWORD) dword:0x00000000 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ ACDSeeShowPicturesOnArrival\ "Provider" = "ACDSee" "InvokeProgID" = "ACDSee.AutoPlayHandler" "InvokeVerb" = "Open" HKLM\SOFTWARE\Classes\ACDSee.AutoPlayHandler\shell\Open\command\(Default) = ""C:\Programme\ACD Systems\ACDSee\5.0\ACDSee5.exe" "%1"" ["ACD Systems Ltd."] dMCAudioCDInput\ "Provider" = "dBpoweramp CD Ripper" "InvokeProgID" = "dMC.AudioCD.Autorun" "InvokeVerb" = "open" HKLM\SOFTWARE\Classes\dMC.AudioCD.Autorun\shell\open\command\(Default) = ""C:\Programme\Illustrate\dBpoweramp\CDGrab.exe" %1" ["Illustrate"] DVDDecrypterPlayDVDMovieOnArrival\ "Provider" = "DVD Decrypter" "InvokeProgID" = "DVDDecrypter" "InvokeVerb" = "PlayDVDMovieOnArrival_Decrypt" HKLM\SOFTWARE\Classes\DVDDecrypter\shell\PlayDVDMovieOnArrival_Decrypt\Command\(Default) = ""C:\Programme\DVD Decrypter\DVDDecrypter.exe" /MODE READ /SOURCE "%1"" ["LIGHTNING UK!"] DVDFabPlatinumOnDVDArrival\ "Provider" = "DVDFab Platinum" "InvokeProgID" = "DVDFabPlatinumOpen" "InvokeVerb" = "Open" HKLM\SOFTWARE\Classes\DVDFabPlatinumOpen\shell\Open\command\(Default) = "C:\PROGRA~1\DVDFAB~2\DVDFAB~1.EXE" ["Fengtao Software Inc."] NeroAutoPlay2AudioToNeroDigital\ "Provider" = "Nero Burning ROM" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracksND /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2CDAudio\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_CDAudio" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2CopyCD\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_CopyCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /DialogiscCopy /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2DataDisc\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_DataDisc" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2LaunchNeroStartSmart\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2RipCD\ "Provider" = "Nero Burning ROM" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_RipCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L" ["Ahead Software AG"] VLCPlayCDAudioOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.CDAudio" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file cdda:%1" ["VideoLAN Team"] VLCPlayDVDMovieOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.DVDMovie" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file dvd:%1" ["VideoLAN Team"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für den Schutz des Web-Datenverkehrs" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll" ["Kaspersky Lab"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ "ButtonText" = "Statistik für den Schutz des Web-Datenverkehrs" Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ B's Recorder GOLD Library General Service, bgsvcgen, ""C:\WINDOWS\system32\bgsvcgen.exe"" ["B.H.A Corporation"] InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Nero AG"] Kaspersky Internet Security, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r" ["Kaspersky Lab"] Maxtor Service, Maxtor Sync Service, "C:\Programme\Maxtor\Sync\SyncServices.exe" ["Seagate Technology LLC"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Sunbelt CounterSpy Antispyware, SBCSSvc, ""C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe"" ["Sunbelt Software"] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ SUGS2 Langmon\Driver = "SUGS2LMK.DLL" ["Samsung Electronics."] VSP1:\Driver = "vsmon1.dll" [null data] ---------- (launch time: 2009-11-13 21:03:19) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 93 seconds, including 12 seconds for message boxes) Ganz schön viel Lesestoff. Schönes Wochenende und bis bald! |
13.11.2009, 22:45 | #24 |
| roore.ws/1.exe trotz KasperskyIS Hi, die sbapifs.sys (und der Service) sollten zu: C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe"" ["Sunbelt Software"] bzw. C:\VIPRERESCUE gehören. Prüfe das mal über Virustotal.com. Lass bei Virustotal auch die c:\windows\system32\drivers\tcpip.sys prüfen. Die wilx34i.dll bitte von Prevx bereinigen lassen. Wenn Du den Rechner für Homebanking benutzen willst, würde ich empfehlen Ihn platt zu machen, das ist das sicherste... Sonst nichts mehr gesehen... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
15.11.2009, 21:10 | #25 | ||
| roore.ws/1.exe trotz KasperskyIS Hallo, danke für die schnelle Antwort. Zitat:
Datei tcpip.sys empfangen 2009.11.15 19:52:57 (UTC) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.15 - AhnLab-V3 5.0.0.2 2009.11.13 - AntiVir 7.9.1.65 2009.11.15 - Antiy-AVL 2.0.3.7 2009.11.13 - Authentium 5.2.0.5 2009.11.15 - Avast 4.8.1351.0 2009.11.15 - AVG 8.5.0.425 2009.11.15 - BitDefender 7.2 2009.11.15 - CAT-QuickHeal 10.00 2009.11.13 - ClamAV 0.94.1 2009.11.15 - Comodo 2957 2009.11.15 - DrWeb 5.0.0.12182 2009.11.15 - eSafe 7.0.17.0 2009.11.15 - eTrust-Vet 35.1.7121 2009.11.14 - F-Prot 4.5.1.85 2009.11.15 - F-Secure 9.0.15370.0 2009.11.11 - Fortinet 3.120.0.0 2009.11.15 - GData 19 2009.11.15 - Ikarus T3.1.1.74.0 2009.11.15 - Jiangmin 11.0.800 2009.11.12 - K7AntiVirus 7.10.896 2009.11.13 - Kaspersky 7.0.0.125 2009.11.15 - McAfee 5803 2009.11.15 - McAfee+Artemis 5803 2009.11.15 - McAfee-GW-Edition 6.8.5 2009.11.15 Heuristic.LooksLike.Trojan.Peed.I Microsoft 1.5202 2009.11.15 - NOD32 4610 2009.11.15 - Norman 6.03.02 2009.11.15 - nProtect 2009.1.8.0 2009.11.15 - Panda 10.0.2.2 2009.11.15 - PCTools 7.0.3.5 2009.11.13 - Prevx 3.0 2009.11.15 - Rising 22.21.06.05 2009.11.15 - Sophos 4.47.0 2009.11.15 - Sunbelt 3.2.1858.2 2009.11.12 - Symantec 1.4.4.12 2009.11.15 - TheHacker 6.5.0.2.070 2009.11.14 - TrendMicro 9.0.0.1003 2009.11.15 - VBA32 3.12.10.11 2009.11.15 - ViRobot 2009.11.14.2037 2009.11.14 - VirusBuster 4.6.5.0 2009.11.15 - weitere Informationen File size: 359040 bytes MD5...: 09eb23a4567bdd56d9580a059e616e23 SHA1..: 08f92da8c23d82e8c6e59c4293b9cb80e46561a4 SHA256: c75db4ab851f70da42f72b5e35c54c3e75d3d44ca907686adcffa473adeaad08 ssdeep: 6144:Zz7kfce2ijs7Wchmom6p+DmyiJcLeXJZfPeoMfntvgsJ/dfKuheJ5A:Zzbe 2iUWW66M2cLg9LMftt/I3 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x51196 timedatestamp.....: 0x411d45c1 (Fri Aug 13 22:50:41 2004) machinetype.......: 0x14c (I386) ( 10 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x380 0x3e94e 0x3e980 6.59 5a720f1cab3a5b41fd08c950ff7b20af .rdata 0x3ed00 0x57c 0x580 4.41 20f2956b25e2956148428004cf624d05 .data 0x3f280 0xa4a4 0xa500 0.06 23eed8fe582434d4b9bc7e201d352eee PAGE 0x49780 0x1f27 0x1f80 6.39 282802fc700ccaf401b7e7165642efef PAGEIPMc 0x4b700 0x2783 0x2800 6.41 ab97f31cdd32fb2b0aac2d13bd7d11cc PAGELK 0x4df00 0x6f2 0x700 6.17 56f528e036ca025e239c9e2fcad941ee .edata 0x4e600 0x2eb 0x300 5.34 2e7c9c6f03be1d1c2c645ab7748302e9 INIT 0x4e900 0x57f2 0x5800 6.21 5e09e530a8bd67b57e4e32812e49005b .rsrc 0x54100 0x3e0 0x400 3.35 8913021b476928905d0830e1b0ada537 .reloc 0x54500 0x354c 0x3580 6.81 ca7c65958624e168b5de5493da512524 ( 4 imports ) > HAL.dll: KfLowerIrql, KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock, KeGetCurrentIrql, KeRaiseIrqlToDpcLevel, KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex > NDIS.SYS: NdisUnchainBufferAtFront, NdisAllocateBuffer, NdisFreePacket, NdisAllocatePacket, NdisSetPacketPoolProtocolId, NdisAllocatePacketPoolEx, NdisReturnPackets, NdisCompleteBindAdapter, NdisReEnumerateProtocolBindings, NdisFreeBufferPool, NdisFreePacketPool, NdisAllocateBufferPool, NdisCompletePnPEvent, NdisCloseAdapter, NdisCancelSendPackets, NdisRequest, NdisFreeMemory, NdisQueryAdapterInstanceName, NdisCopyBuffer, NdisRegisterProtocol, NdisGetReceivedPacket, NdisOpenAdapter, NdisGetDriverHandle > ntoskrnl.exe: MmLockPagableSectionByHandle, _wcsicmp, wcscpy, wcsncpy, wcschr, RtlAppendUnicodeToString, RtlExtendedMagicDivide, ExLocalTimeToSystemTime, RtlTimeToTimeFields, RtlIpv4StringToAddressW, RtlUnicodeStringToInteger, ZwEnumerateValueKey, KeReadStateEvent, KeReleaseMutex, MmIsThisAnNtAsSystem, KeInitializeMutex, IoRaiseInformationalHardError, RtlAnsiStringToUnicodeString, RtlUnicodeStringToAnsiString, InterlockedPopEntrySList, InterlockedPushEntrySList, ZwQueryValueKey, ZwSetValueKey, ExIsProcessorFeaturePresent, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, SeExports, RtlMapGenericMask, IoGetFileObjectGenericMapping, ObReleaseObjectSecurity, SeSetSecurityDescriptorInfo, RtlLengthSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ObGetObjectSecurity, IofCallDriver, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, ObfDereferenceObject, RtlAddAce, RtlGetAce, MmLockPagableDataSection, RtlInitializeSid, RtlLengthRequiredSid, ObSetSecurityObjectByPointer, RtlSelfRelativeToAbsoluteSD, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, RtlGetDaclSecurityDescriptor, RtlVerifyVersionInfo, VerSetConditionMask, IoWMIRegistrationControl, IoGetCurrentProcess, KeInitializeTimerEx, RtlExtendedIntegerMultiply, KeQueryInterruptTime, _aulldiv, DbgBreakPoint, KeSetTargetProcessorDpc, RtlSetBit, SeUnlockSubjectContext, SeAccessCheck, SeLockSubjectContext, ObDereferenceSecurityDescriptor, PsGetCurrentProcessId, RtlWalkFrameChain, _aulldvrm, ExNotifyCallback, ExCreateCallback, ObReferenceObjectByHandle, MmUnlockPages, SeFreePrivileges, SeAppendPrivileges, ObLogSecurityDescriptor, SeAssignSecurity, IoFileObjectType, MmProbeAndLockPages, IoAllocateMdl, _except_handler3, ProbeForWrite, ObfReferenceObject, PsGetCurrentProcess, RtlPrefetchMemoryNonTemporal, ExInitializeNPagedLookasideList, KeInitializeDpc, KeInitializeTimer, KeSetTimerEx, ZwClose, IoCreateDevice, IoDeleteDevice, ZwOpenKey, KeDelayExecutionThread, KeWaitForSingleObject, ExDeleteNPagedLookasideList, MmUnlockPagableImageSection, RtlInitUnicodeString, IoCreateSymbolicLink, IoDeleteSymbolicLink, KeSetEvent, KeQueryTimeIncrement, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwSetInformationThread, KeQuerySystemTime, _allmul, _alldiv, MmQuerySystemSize, ExfInterlockedInsertTailList, RtlCompareUnicodeString, RtlInitializeBitMap, RtlClearAllBits, RtlSetBits, wcslen, RtlCompareMemory, RtlAreBitsSet, RtlClearBits, RtlFindClearBitsAndSet, RtlFindClearRuns, KeCancelTimer, KeClearEvent, DbgPrint, memmove, RtlCopyUnicodeString, RtlAppendUnicodeStringToString, ZwLoadDriver, KeResetEvent, MmMapLockedPages, KeInitializeSpinLock, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, IofCompleteRequest, KeInitializeEvent, ExfInterlockedAddUlong, ExAllocatePoolWithTag, MmMapLockedPagesSpecifyCache, IoFreeMdl, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeNumberProcessors, ExFreePoolWithTag, ExAllocatePoolWithTagPriority, KeBugCheckEx, RtlSubAuthoritySid, KeTickCount, MmBuildMdlForNonPagedPool, ZwDeviceIoControlFile, ZwCreateFile > TDI.SYS: CTESignal, CTESystemUpTime, CTEScheduleDelayedEvent, CTEInitEvent, CTEStartTimer, CTEInitTimer, CTEBlock, TdiProviderReady, CTEInitialize, TdiDeregisterNetAddress, TdiRegisterNetAddress, TdiDeregisterDeviceObject, CTEBlockWithTracker, CTELogEvent, TdiRegisterDeviceObject, TdiCopyMdlChainToMdlChain, TdiPnPPowerRequest, TdiDeregisterProvider, TdiRegisterProvider, TdiInitialize, TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers, CTEScheduleEvent, TdiCopyBufferToMdl, CTERemoveBlockTracker, CTEInsertBlockTracker, TdiMapUserRequest, TdiCopyBufferToMdlWithReservedMappingAtDpcLevel ( 27 exports ) FreeIprBuff, GetIFAndLink, IPAddInterface, IPAllocBuff, IPDelInterface, IPDelayedNdisReEnumerateBindings, IPDeregisterARP, IPDisableSniffer, IPEnableSniffer, IPFreeBuff, IPGetAddrType, IPGetBestInterface, IPGetInfo, IPInjectPkt, IPProxyNdisRequest, IPRegisterARP, IPRegisterProtocol, IPSetIPSecStatus, IPTransmit, LookupRoute, LookupRouteInformation, LookupRouteInformationWithBuffer, SendICMPErr, SetIPSecPtr, UnSetIPSecPtr, UnSetIPSecSendPtr, tcpxsum RDS...: NSRL Reference Data Set - pdfid.: - sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: TCP/IP Protocol Driver original name: tcpip.sys internal name: tcpip.sys file version.: 5.1.2600.2505 (xpsp.040806-1825) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) -----------------------EoF--------------- Ist das ein FUND? Zitat:
Die sbapifs.sys find ich blöderweise nicht. Selbst die Suche im Windows-Explorer gibt nichts her. In welchem Ordner liegt die? Gute Nacht! |
16.11.2009, 09:01 | #26 |
| roore.ws/1.exe trotz KasperskyIS Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\drivers\sbapifs.sys
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\windows\wilx34i.dll 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
17.11.2009, 16:56 | #27 | |
| roore.ws/1.exe trotz KasperskyIS Hallo, so sehr ich es auch möchte, diese verflixte sbapifs.sys ist einfach nicht zu finden. Auch wenn ich ganz genau nach Anleitung mir alle Dateien anzeigen lasse. Bei virustotal kann ich zwar in das weiße Feld klicken, dann kommt aber gleich ein Fenster raus, das auch nach dem Klicken auf "Durchsuchen" kommt. Dort muss ich dann den genauen Pfad zur Datei angeben. Wenn ich den Pfad zur Datei kopiere und im Suchfenster einfüge, erhalte ich die im Screenshot gezeigte Meldung. Wo steckt diese verdammte Datei? Das mit Avenger werd ich gleich machen. Soll ich danach eines der Tools laufen lassen? Hab letztens was von Spyware Terminator gelesen, was hältst du davon? Zitat:
icke. |
17.11.2009, 17:06 | #28 |
| roore.ws/1.exe trotz KasperskyIS Hallo, hast Du was deinstalliert (eine der genannten Anwendungen)? Ich wäre versucht ein neues CF-Log zu erstelllen, dazu CF deinstallieren (Start->Ausführen combofix /u) und dann neu runterladen, laufen lassen und Log posten... Prüfe dann nach ob sie noch da ist und in welchem Zustand (im alten war sie als "running" gekennzeichnet, d.h. sie muss da sein), wenn sie im neuen Log den Status S hat (stopped), dann kann sie auch schon gelöscht sein, nur der Starteintrag ist dann noch da... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
17.11.2009, 21:06 | #29 | |
| roore.ws/1.exe trotz KasperskyIS Hi, nö, deinstalliert hab ich in letzter Zeit nichts. Glaub ich jedenfalls. Außer ComboFix, aber das war ja planmäßig. Hier ist der Report von Avenger nach dem Script: Zitat:
Na dann, |
18.11.2009, 07:27 | #30 |
| roore.ws/1.exe trotz KasperskyIS Hi, bitte wie beschrieben vorgehen... Gruß, chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu roore.ws/1.exe trotz KasperskyIS |
acrobat, aktiv, anfang, computer, dienste, fiese, firefox, image, internet, internet security, kis, kostenlose, lädt, meldung, meldungen, neues, neues fenster, nicht angezeigt, nicht geladen, plug-in, programm, scan, security, seite, seiten, selbständig, startet, system, taskmanager, win32.bredavi.agn |