roore.ws/1.exe trotz KasperskyIS

icke040 · 04.11.2009, 11:48

Hallo!
Bisher dachte ich, dass mich Kspersky Internet Security (KIS) zuverlässig gegen die fiesen Gefahren im Netz schützt, wenn ich es nur täglich update.
Nun kommt aber KIS immer wieder mit einer Meldung: (Die Bilder, die ich extra hochgeladen habe, werden hier nicht angezeigt, also setze ich die Links rein

Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos
auf die eine andere folgt:
Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos
Das nervt inzwischen mächtig, zumal die Meldungen nun auch vielfältiger werden.
Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos
Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos
In meinem Laienverstand reift die Erkenntnis, dass da was Kleines, Unerwünschtes auf meinem Computer haust, das nun sämtliche Brüder und Schwestern nachholen möchte. KIS wehrt sich zwar dagegen, ich weiß aber nicht, ob das erfolgreich ist oder ob da wieder was durch die Lappen geht.
Ganz am Anfang der Problematik hatte KIS etwas gefunden und offenbar beseitigt: Bckdoor.Win32.Bredavi.agn.
Dennoch lädt mein Firefox in gewissen Abständen selbständig ein neues Fenster mit mehreren Tabs. Die ursprünglichen Seiten können nicht geladen werden, dazu kommt eine Fehlermeldung. Letztens wurde jedoch die wenig vertrauensvoll erscheinende Seite eines Online-Virenscanners dargestellt, dessen Dienste ich erstmal nicht in Anspruch genommen habe.
Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos

Manchmal startet auch selbständig der Acrobat Reader und teilt mir mit, dass ein Plug-In nicht ausführbar wäre. Trotzdem bleibt das Programm aktiv und ich muss es aus dem Taskmanager löschen.

Wie krieg ich mein System wieder sauber?

Im nächsten Beitrag setze ich die ScanLogs rein.
Würde mich sehr freuen, wenn mir jemand hilft. Werde auch jede Anweisung befolgen, sofern ich technisch dazu in der Lage bin.

icke.

Chris4You · 04.11.2009, 11:54

Hi,

Tools runterladen, updaten (MAM), offline gehen und das hier abfackeln:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Kurz Online gehen und Ergebnisse posten und dann nur noch online um die Antworten abzuwarten...

Da ist ein Backdoor zu gange, d.h. Du stehst bereits kurz vor dem Neuaufsetzen des Systems, Kapi verhindert nur das Nachziehen weiterer Verseuchungen...
Ausserdem ist noch ein Fakescanner zugange...

chris

icke040 · 04.11.2009, 12:02

Hier der Log aus Malwarebytes Anti-Malware :

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3094
Windows 5.1.2600 Service Pack 2

03.11.2009 22:56:33
mbam-log-2009-11-03 (22-56-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 191435
Laufzeit: 51 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------------------------------------------------------------

icke040 · 04.11.2009, 12:06

Hier der Text aus der Datei log.txt von RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Besitzer at 2009-11-03 23:00:17
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 22 GB (55%) free of 39 GB
Total RAM: 1471 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:00:44, on 03.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
E:\Private\News\Downloads\03\RSIT(2).exe
C:\Programme\Trend Micro\HijackThis\Besitzer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

--
End of file - 4928 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 501400]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-10-10 7286784]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2005-10-10 86016]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"InCD"=C:\Programme\Ahead\InCD\InCD.exe [2006-03-23 1398272]
"mxomssmenu"=C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe [2007-09-06 169264]
"SBCSTray"=C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe [2007-12-21 698864]
"C-Media Mixer"=Mixer.exe /startup []
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]
" Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-11-11 15360]
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-10-18 2000112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.DLL [2009-10-11 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-11-11 218376]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SBCSSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*

isabled:@xpsp2res.dll,-22019"
"C:\Programme\FrostWire\FrostWire.exe"="C:\Programme\FrostWire\FrostWire.exe:*:Enabled:LimeWire"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1af1bcf2-f160-11dd-b9cd-00138f75a9e5}]
shell\AutoRun\command - H:\Menu.exe

======List of files/folders created in the last 1 months======

2009-11-01 14:19:22 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-11-01 14:18:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 14:18:39 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-10-25 22:46:31 ----D---- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2009-10-25 22:46:23 ----D---- C:\Programme\Misc. Support Library (Spybot - Search & Destroy)
2009-10-25 22:45:54 ----D---- C:\Programme\SDHelper (Spybot - Search & Destroy)
2009-10-25 22:45:38 ----D---- C:\Programme\File Scanner Library (Spybot - Search & Destroy)
2009-10-24 08:09:54 ----A---- C:\WINDOWS\wininit.ini
2009-10-11 09:06:36 ----D---- C:\Programme\Gigaflat
2009-10-07 11:21:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS

======List of files/folders modified in the last 1 months======

2009-11-03 22:37:17 ----D---- C:\WINDOWS\Temp
2009-11-03 22:07:42 ----D---- C:\Programme\Mozilla Firefox
2009-11-03 21:46:53 ----D---- C:\WINDOWS\Minidump
2009-11-03 21:46:53 ----D---- C:\WINDOWS
2009-11-03 21:17:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-03 21:17:14 ----D---- C:\WINDOWS\system32\drivers
2009-11-03 10:26:31 ----D---- C:\Programme\Zoom Player
2009-11-02 10:39:52 ----D---- C:\WINDOWS\system32\CatRoot2
2009-11-01 14:18:39 ----RD---- C:\Programme
2009-11-01 12:28:49 ----D---- C:\WINDOWS\system32
2009-10-25 23:05:43 ----D---- C:\Programme\Spybot - Search & Destroy
2009-10-25 22:53:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-25 08:40:55 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-10-24 08:27:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-10-18 21:27:24 ----D---- C:\Programme\SUPERAntiSpyware

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 ASPI32;ASPI32; C:\WINDOWS\system32\drivers\ASPI32.sys [1999-09-10 25244]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2007-12-12 33408]
R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2006-03-23 29440]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\incdrm.sys [2006-03-23 33536]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-06-22 226832]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-20 21248]
R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys []
R2 DgiVecp;Team MFP Comm Driver; C:\WINDOWS\System32\Drivers\DgiVecp.sys [2005-03-14 41984]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-08-03 11868]
R2 tmcomm;tmcomm; \??\C:\WINDOWS\system32\drivers\tmcomm.sys []
R3 cmpci;C-Media PCI Audio Driver (WDM); C:\WINDOWS\system32\drivers\cmaudio.sys [2007-08-14 370382]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MXOPSWD;Maxtor OneTouch Security Driver; C:\WINDOWS\system32\DRIVERS\mxopswd.sys [2007-05-03 22152]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-10-10 3530432]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-29 34048]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-29 12928]
R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2008-01-16 47360]
R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
R3 SBAPIFS;SBAPIFS; \??\C:\WINDOWS\system32\drivers\sbapifs.sys []
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-11-11 17024]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 vulfntrs;VIA USB Roothub Lower Filter; C:\WINDOWS\System32\Drivers\vulfntr.sys [2006-01-07 10496]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2006-03-23 102016]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 EC168BDA;EC168BDA service; C:\WINDOWS\system32\DRIVERS\EC168BDA.sys [2007-09-11 87296]
S3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536]
S3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032]
S3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 ptiusbf;PTI USB Filter; C:\WINDOWS\SYSTEM32\DRIVERS\PTIUSBF.SYS [2001-04-14 22474]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 vulfnths;VIA USB Host Controller Lower Filter; C:\WINDOWS\System32\Drivers\vulfnth.sys [2006-01-07 6912]
S3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]
R2 bgsvcgen;B's Recorder GOLD Library General Service; C:\WINDOWS\system32\bgsvcgen.exe [2007-12-12 122512]
R2 InCDsrv;InCD Helper; C:\Programme\Ahead\InCD\InCDsrv.exe [2006-03-23 880128]
R2 Maxtor Sync Service;Maxtor Service; C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 156976]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-10-10 131139]
R2 SBCSSvc;Sunbelt CounterSpy Antispyware; C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe [2007-12-21 788976]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]

-----------------EOF-----------------

Und der Text aus der Datei info.txt von RSIT:

info.txt logfile of random's system information tool 2008-09-06 09:02:28

Uninstall list

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.42-->"C:\Programme\7-Zip\Uninstall.exe"
AC3Filter (remove only)-->C:\Programme\AC3Filter\uninstall.exe
ACDSee 5.0 Standard-->MsiExec.exe /I{206BA68B-DF92-45C6-B61D-228F188FD9FC}
Ad-Aware 2007-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
Auto Gordian Knot 2.45-->C:\Programme\AutoGK\uninst.exe
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AviSynth 2.5-->"C:\Programme\AviSynth 2.5\Uninstall.exe"
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
dBpoweramp DirectShow Decoder-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DirectShow Decoder.dat
dBpoweramp DSP Effects-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DSP Effects.dat
dBpoweramp Music Converter-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat
Digital Video Repair 1.0-->"C:\Programme\Rising Research\Digital Video Repair\uninstall.exe"
DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Decrypter (Remove Only)-->"C:\Programme\DVD Decrypter\uninstall.exe"
DVD Flick-->"C:\Programme\DVD Flick\unins000.exe"
DVD Shrink 3.2-->"C:\Programme\DVD Shrink\unins000.exe"
DVD Solution-->C:\Programme\Uninstall_CDS.exe
DVDx-->"C:\Programme\DVDx\unins000.exe"
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Exact Audio Copy v0.9 beta 4-->"C:\Programme\Exact Audio Copy\unins000.exe"
FastStone Image Viewer 2.12-->C:\Programme\FastStone Image Viewer\uninst.exe
FileZilla (remove only)-->"C:\Programme\FileZilla\uninstall.exe"
FLV Player-->"C:\WINDOWS\FLV Player\uninstall.exe" "/U:C:\Programme\FLV Player\Uninstall\uninstall.xml"
Fotosizer 1.10.0.154-->C:\Programme\Fotosizer\uninst.exe
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
ImgBurn (Remove Only)-->"C:\Programme\ImgBurn\uninstall.exe"
InCD-->C:\WINDOWS\NuNInst.exe /UNINSTALL
IZArc 3.7-->"C:\Programme\IZArc\unins000.exe"
J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Macromedia Dreamweaver 3-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\Macromedia\Dreamweaver 3\Uninst.isu"
Maxtor Manager-->"C:\Programme\InstallShield Installation Information\{357966B4-ED3B-4CAE-965F-825552888E31}\setup.exe" -runfromtemp -l0x0407 -removeonly
Maxtor Manager-->MsiExec.exe /I{357966B4-ED3B-4CAE-965F-825552888E31}
Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Minolta PageWorks/Pro 1100L-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\MLT1100L\Uninst.isu" -c"C:\Program Files\MLT1100L\DeSetDLL.dll"
Mozilla Firefox (1.5.0.12)-->C:\Programme\Mozilla Firefox\uninstall\uninstall.exe /ua "1.5.0.12 (de)"
Mozilla Thunderbird (1.0.2)-->C:\WINDOWS\UninstallThunderbird.exe /ua "1.0.2 (de)"
Mp3tag v2.39-->C:\Programme\Mp3tag\Mp3tagUninstall.EXE
MSXML 6.0 Parser-->MsiExec.exe /I{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Paint Shop Pro-->C:\PROGRA~1\PAINTS~1\UNWISE.EXE C:\PROGRA~1\PAINTS~1\INSTALL.LOG
PCI Audio Driver-->cmuninst.exe
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
SolveigMM AVI Trimmer-->"C:\Programme\Solveig Multimedia\SolveigMM AVI Trimmer\Uninstall.exe" "C:\Programme\Solveig Multimedia\SolveigMM AVI Trimmer\install.log" -u
SUPER © Version 2008.bld.30 (Mar 22, 2008)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
TMPGEnc DVD Author 3 with DivX Authoring-->MsiExec.exe /I{B1DE9317-0822-4A65-A496-3505D63FAEB6}
TreeSize Free V2.1-->"C:\Programme\JAM Software\TreeSize Free\unins000.exe"
Trillian-->C:\Programme\Trillian\trillian.exe /uninstall
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7
Uninstall 1.0.0.0-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
USBInfo-->C:\WINDOWS\st6unst.exe -n "C:\Programme\USBInfo\ST6UNST.LOG"
Versatel-->C:\WINDOWS\\Versatel_UTIL.exe -UnInstall
VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe
Visage eXPert PDF -->MsiExec.exe /X{B4CDFB98-1209-4A34-A1CD-5CB9818D84AA}
VobSub v2.23 (Remove Only)-->"C:\Programme\Gabest\VobSub\uninstall.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XMPEG 5.0-->C:\Programme\XMPEG\uninst.exe
xp-AntiSpy 3.96-2-->C:\Programme\xp-AntiSpy\Uninstall.exe
XviD MPEG4 Video Codec (remove only)-->"C:\WINDOWS\system32\xvid-uninstall.exe"
Zero Assumption Recovery Version 8.0-->"C:\Programme\ZAR\unins000.exe"
ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe
Zoom Player (remove only)-->"C:\Programme\Zoom Player\uninstall.exe"
Zoom Player deutsche Sprachdateien (entfernen)-->C:\Programme\Zoom Player\uninstall_German.exe

Hosts File

127.0.0.1 localhost

Security center information

AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition
AV: Avira AntiVir PersonalEdition Classic

Environment variables

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2c02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

DAnke für die schnelle Antwort, Chris4You!

Chris4You · 04.11.2009, 13:22

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

H:\Menu.exe
C:\WINDOWS\Mixer.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Acrobat(total veraltet, jede Menge Sicherheitslöcher), Firefox, Flash und FrostWire.exe, uTorrent.exe" deinstallieren.
Acrobat (http://www.adobe.com/de/products/reader/), Firefox (http://filepony.de/download-firefox/) und Java (http://www.java.com/de/download/) updaten, alte Versionen deinstallieren...
Das ganze System muss auf SP3 gehoben werden, der IE ist ebenfalls steinalt und sollte mal "modernisiert" werden!
HJ und RSIT geben sonst nichts her...

Was macht GMER...?

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

icke040 · 04.11.2009, 14:10

Erstmal Danke für die Infos.

Den IE nutze ich nicht, deshalb ist der steinalt. Weg krieg ich ihn ja leider nicht. Gehört zu Windows.SP3 werd ich auf jeden Fall ins Auge fassen.

Firefox erst deinstallieren, dann den neuen Firefox installieren? Sonst sind die Lesezeichen weg.

Menu.exe gehört zu Maxtor, das ist meine externe Festplatte unter H:

mixer.exe gehört zur Soundkarte. Werd aber beide prüfen lassen.

gmer hat KIS herausgefordert. Siehe Anhang. Erst kam da ein KIS-Fenster, bei dem ich außer "Erlauben" nichts anklicken konnte. Dann beendete GMER seinen Dienst (siehe Anhang).

Nach Neustart des Computers und erneutem Start von GMER gab KIS eine neue Meldung (siehe Anhang).

Ist das in Ordnung, darf ich das ausführen lassen?

Was prevx und virustotal sagen, wer ich gleich posten.

icke040 · 04.11.2009, 14:42

prevx hat noch gestern zwei Threats gefunden, heute ist eine davon verschwunden. Wenigstens etwas Positives (Siehe Anhang).

virustotal sagte zu mixer.exe:

Datei mixer.exe empfangen 2009.11.04 13:26:56 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.04 -
AhnLab-V3 5.0.0.2 2009.11.04 -
AntiVir 7.9.1.53 2009.11.04 -
Antiy-AVL 2.0.3.7 2009.11.04 -
Authentium 5.2.0.5 2009.11.04 -
Avast 4.8.1351.0 2009.11.03 -
AVG 8.5.0.423 2009.11.04 -
BitDefender 7.2 2009.11.04 -
CAT-QuickHeal 10.00 2009.11.04 -
ClamAV 0.94.1 2009.11.04 -
Comodo 2836 2009.11.04 -
DrWeb 5.0.0.12182 2009.11.04 -
eSafe 7.0.17.0 2009.11.03 -
eTrust-Vet 35.1.7101 2009.11.04 -
F-Prot 4.5.1.85 2009.11.04 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.04 -
GData 19 2009.11.04 -
Ikarus T3.1.1.74.0 2009.11.04 -
Jiangmin 11.0.800 2009.11.04 -
K7AntiVirus 7.10.887 2009.11.03 -
Kaspersky 7.0.0.125 2009.11.04 -
McAfee 5791 2009.11.03 -
McAfee+Artemis 5791 2009.11.03 -
McAfee-GW-Edition 6.8.5 2009.11.04 -
Microsoft 1.5202 2009.11.04 -
NOD32 4572 2009.11.04 -
Norman 6.03.02 2009.11.04 -
nProtect 2009.1.8.0 2009.11.04 -
Panda 10.0.2.2 2009.11.03 -
PCTools 7.0.3.5 2009.11.04 -
Prevx 3.0 2009.11.04 -
Rising 21.54.24.00 2009.11.04 -
Sophos 4.47.0 2009.11.04 -
Sunbelt 3.2.1858.2 2009.11.04 -
Symantec 1.4.4.12 2009.11.04 -
TheHacker 6.5.0.2.060 2009.11.04 -
TrendMicro 9.0.0.1003 2009.11.04 -
VBA32 3.12.10.11 2009.11.03 -
ViRobot 2009.11.4.2021 2009.11.04 -
VirusBuster 4.6.5.0 2009.11.03 -
weitere Informationen
File size: 1228800 bytes
MD5...: 7b503cab0a93c604feff12cbc4256ee8
SHA1..: fee1dcd246623198c4094e771503eeaabf3abf2a
SHA256: b1649cd4efadeeb885f2f4f3b2a072ad540a463b8cbb5a8c5871652e110b3e2e
ssdeep: 6144:0eQcPeoSehn/c8z5IoZTT+BtpNFGfQjdUp2DtSb195cLsziEEotDGiBOny4
jCj54:0eQcPeEhTz5I0T0fNFGfQjdUQ2YKpuF
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2b37d
timedatestamp.....: 0x3c5508f1 (Mon Jan 28 08:16:49 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4f4c4 0x50000 6.27 decfde40f50151ad0ce06bc633115ba9
.rdata 0x51000 0xa8e8 0xb000 4.65 52ce10bed13e0575507b928b5c457435
.data 0x5c000 0xbfa8 0x8000 4.06 e61bcf01c45841423456bb63aac30383
.rsrc 0x68000 0xc79c8 0xc8000 5.93 a0057c9e1e6c076d3c1e9351beae1f44

( 11 imports )
> WINMM.dll: mixerClose, mmioCreateChunk, mmioWrite, mmioGetInfo, mmioAdvance, mmioSetInfo, mmioSeek, mmioOpenA, mmioDescend, mmioRead, mmioAscend, mmioClose, mixerMessage, mixerGetLineInfoA, mixerGetLineControlsA, mixerGetControlDetailsA, mixerSetControlDetails, mixerGetDevCapsA, mixerGetNumDevs, mixerOpen
> DSOUND.dll: -
> KERNEL32.dll: GetFileSize, SystemTimeToFileTime, SetErrorMode, FileTimeToSystemTime, GetShortPathNameA, LocalFileTimeToFileTime, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapFree, HeapAlloc, RaiseException, FileTimeToLocalFileTime, RtlUnwind, HeapReAlloc, GetACP, GetTimeZoneInformation, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetEnvironmentVariableA, HeapDestroy, GetVolumeInformationA, TerminateProcess, HeapSize, WideCharToMultiByte, GetThreadLocale, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetPrivateProfileIntA, GetWindowsDirectoryA, GlobalAlloc, GlobalFree, GetPrivateProfileStringA, lstrcmpA, lstrcpyA, GetVersionExA, CreateProcessA, lstrcpynA, WinExec, WritePrivateProfileStringA, lstrcatA, GetStringTypeExA, DeleteFileA, FindFirstFileA, FindClose, UnlockFile, MoveFileA, SetEndOfFile, SetFilePointer, LockFile, FlushFileBuffers, CreateFileA, WriteFile, ReadFile, GetCPInfo, DuplicateHandle, GetOEMCP, LocalReAlloc, GlobalFlags, TlsGetValue, GlobalReAlloc, TlsSetValue, EnterCriticalSection, DeleteCriticalSection, LeaveCriticalSection, TlsFree, LocalFree, TlsAlloc, InitializeCriticalSection, HeapCreate, FindResourceExA, GetProfileStringA, LocalAlloc, GetProcessVersion, SetLastError, SizeofResource, MulDiv, SetFileTime, GetDiskFreeSpaceA, GetFileTime, GetFileAttributesA, GetFullPathNameA, GetTempFileNameA, MultiByteToWideChar, GetModuleFileNameA, GetCurrentThread, VirtualFree, InterlockedIncrement, lstrcmpiA, lstrlenA, InterlockedDecrement, LoadLibraryA, FreeLibrary, GetVersion, GetCurrentThreadId, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, GetModuleHandleA, GetProcAddress, FindResourceA, LoadResource, LockResource, GlobalLock, GlobalHandle, GlobalUnlock, GetCurrentDirectoryA, SleepEx, GetCurrentProcess, GetLastError, CloseHandle, VirtualAlloc, IsBadWritePtr
> USER32.dll: PostQuitMessage, MapWindowPoints, SendDlgItemMessageA, IsDialogMessageA, SetWindowTextA, GetNextDlgTabItem, EnableMenuItem, CheckMenuItem, SetMenuItemBitmaps, ModifyMenuA, GetMenuState, LoadBitmapA, GetMenuCheckMarkDimensions, CreateDialogIndirectParamA, EndDialog, ValidateRect, TranslateMessage, GetMessageA, SetRectEmpty, LoadAcceleratorsA, TranslateAcceleratorA, SetCursor, DestroyMenu, ReuseDDElParam, UnpackDDElParam, BringWindowToTop, PeekMessageA, GetSysColor, ShowOwnedPopups, ClientToScreen, GetWindowDC, BeginPaint, EndPaint, TabbedTextOutA, DrawTextA, GrayStringA, WindowFromPoint, LoadCursorA, GetSysColorBrush, GetClassNameA, PtInRect, InsertMenuA, DeleteMenu, GetMenuStringA, DestroyIcon, CharUpperA, InflateRect, ScreenToClient, EqualRect, DeferWindowPos, GetClientRect, BeginDeferWindowPos, CopyRect, EndDeferWindowPos, IsWindow, DispatchMessageA, IsChild, WinHelpA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetMenuItemID, TrackPopupMenu, GetWindowTextLengthA, GetWindowTextA, GetKeyState, DefWindowProcA, DestroyWindow, CreateWindowExA, CallNextHookEx, GetClassLongA, SetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, GetWindow, RegisterWindowMessageA, OffsetRect, IntersectRect, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetSystemMetrics, MapDialogRect, GetActiveWindow, SetActiveWindow, GetAsyncKeyState, GetFocus, SetFocus, GetDlgItem, IsWindowEnabled, GetParent, GetDlgCtrlID, SetCapture, RedrawWindow, InvalidateRect, GetUpdateRect, MoveWindow, ReleaseCapture, GetWindowRect, FillRect, ReleaseDC, UpdateWindow, SetMenu, LoadStringA, PostMessageA, GetWindowLongA, SetWindowLongA, GetDC, LoadIconA, SetForegroundWindow, LoadMenuA, GetSubMenu, GetTopWindow, RegisterHotKey, UnregisterHotKey, FindWindowExA, IsWindowVisible, wsprintfA, GetCursorPos, ShowWindow, SendMessageA, KillTimer, SetTimer, LoadImageA, GetDesktopWindow, EnableWindow, AdjustWindowRectEx, MessageBoxA, GetPropA, UnhookWindowsHookEx, GetCapture, SetWindowPos, SetWindowsHookExA, DrawFocusRect, UnregisterClassA, HideCaret, ShowCaret, ExcludeUpdateRgn, IsWindowUnicode, DefDlgProcA, CharNextA
> GDI32.dll: GetTextExtentPointA, BitBlt, SelectObject, CreateCompatibleDC, DeleteDC, GetClipBox, SetTextColor, SetBkColor, GetObjectA, CreateBitmap, SaveDC, RestoreDC, GetStockObject, SetBkMode, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, CreateSolidBrush, IntersectClipRect, GetDeviceCaps, CreateDIBitmap, RectVisible, TextOutA, PtVisible, Escape, PatBlt, ExtTextOutA, EnumFontFamiliesExA, DeleteObject
> comdlg32.dll: GetFileTitleA, GetSaveFileNameA, GetOpenFileNameA
> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter
> ADVAPI32.dll: RegOpenKeyA, RegDeleteKeyA, LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken, GetFileSecurityA, SetFileSecurityA, RegDeleteValueA, RegEnumValueA, RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegSetValueA, RegQueryValueA, RegOpenKeyExA, RegEnumKeyExA, RegCreateKeyA
> SHELL32.dll: SHGetFileInfoA, DragFinish, Shell_NotifyIconA, ExtractIconA, DragQueryFileA
> COMCTL32.dll: PropertySheetA, DestroyPropertySheetPage, CreatePropertySheetPageA, -
> ole32.dll: CoInitialize, CoCreateInstance, CoFreeUnusedLibraries, CoUninitialize

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: C-Media Electronic Inc. (www.cmedia.com.tw)
copyright....: Copyright (C) 1997-2002
product......: Mixer
description..: Mixer
original name: Mixer.EXE
internal name: Mixer
file version.: 1.48
comments.....: Feng Min-Chih (min_chih@cmedia.com.tw)
signers......: -
signing date.: -
verified.....: Unsigned

------------------- EoF-------------

Die Datei Menu.exe konnte ich mit Windows-Mitteln nicht finden, obwohl ich alle versteckten Dateien anzeigen lasse: (Siehe Anlage)

Ist das gefährlich?

Bis bald!

Chris4You · 04.11.2009, 15:18

Hi,

kopiere bei Virustotal die menu.exe samt Pfad in das vorgesehene Feld und lass sie hochladen. Schlimmstenfalls kommt 0 bytes received...

Lass auch die von Prevx angemoserte Datei mal bei virustotal prüfen...

Bezüglich GMER wie folgt verfahren...
Offline gehen, Kaspersky ausschalten und GMER ausführen. Logs speichern, Kapi wieder anknipsen und online gehen, Log posten...

Bezüglich der Lesezeichen von Firefox, die kannst Du über den "Lesezeichen-Manager" (Lesezeichen->Lesezeichen verwalten->"Importieren und Sichern" exportieren und später dann wieder importieren...
Dann die Plugins "NoScript" und "WOT" installieren...

So wenn dann Kapi immer noch schreit und GMER kein Rootkit anzeigt, dann probieren wir das hier mal:

ViperRescue-Kit
Lade dir den Rescuekit von folgender Adresse: http://live.sunbeltsoftware.com/ auf den Desktop runter.
Achtung: Falls vorhanden, aktuelle Sicherheitslösung AUSSCHALTEN/ANHALTEN
- Starte mit einem Doppelcklick die Installation
- Antworte auf die Frage: "Do you wish to extract the VIPRE Rescue Scanner to your computer?" mit yes
- Lasse den angegebenen Installationspfad (C:\VIPRERESCUE) stehen,
- markiere die Checkbox "When done unzipping open: .\deep_scan.bat" um den Scanner nach der Installation zu starten (sollte
eigentlich schon angewählt sein)
- klicke auf "Unzip"
- Nach der Installation öffnet sich ein CommandLine-Fenster, der Suchlauf startet...(Rootkits, Prozesse, Files, ...)
- Nichts mehr am Rechner unternehmen bis der Suchlauf durch ist (kann u. U. einge Stunden gehen...)
- Nach dem Suchlauf findest Du die Logdatei im Verzeichnis C:\VIPRERESCUE als .xml file, sonst den Inhalt des
CMD-Fenster mit der Maus kopieren und posten...

chris

icke040 · 05.11.2009, 09:49

Hallo,

Hab WILX34I.DLL bei Virustotal gecheckt (Funde hervorgehoben):

Datei WILX34I.DLL empfangen 2009.11.05 08:35:28 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/40 (5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 60 und 85 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.05 -
AhnLab-V3 5.0.0.2 2009.11.05 -
AntiVir 7.9.1.53 2009.11.04 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.05 -
Avast 4.8.1351.0 2009.11.04 -
AVG 8.5.0.423 2009.11.05 -
BitDefender 7.2 2009.11.05 -
CAT-QuickHeal 10.00 2009.11.05 -
ClamAV 0.94.1 2009.11.05 -
Comodo 2846 2009.11.05 -
DrWeb 5.0.0.12182 2009.11.05 -
eTrust-Vet 35.1.7103 2009.11.04 -
F-Prot 4.5.1.85 2009.11.04 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.05 -
GData 19 2009.11.05 -
Ikarus T3.1.1.74.0 2009.11.05 -
Jiangmin 11.0.800 2009.11.05 -
K7AntiVirus 7.10.888 2009.11.04 -
Kaspersky 7.0.0.125 2009.11.05 -
McAfee 5792 2009.11.04 -
McAfee+Artemis 5792 2009.11.04 Artemis!463C16D4F2B2
McAfee-GW-Edition 6.8.5 2009.11.05 -
Microsoft 1.5202 2009.11.05 -
NOD32 4574 2009.11.04 -
Norman 6.03.02 2009.11.04 -
nProtect 2009.1.8.0 2009.11.05 -
Panda 10.0.2.2 2009.11.04 -
PCTools 7.0.3.5 2009.11.05 -
Prevx 3.0 2009.11.05 Medium Risk Malware
Rising 21.54.32.00 2009.11.05 -
Sophos 4.47.0 2009.11.05 -
Sunbelt 3.2.1858.2 2009.11.05 -
Symantec 1.4.4.12 2009.11.05 -
TheHacker 6.5.0.2.061 2009.11.05 -
TrendMicro 9.0.0.1003 2009.11.05 -
VBA32 3.12.10.11 2009.11.04 -
ViRobot 2009.11.5.2023 2009.11.05 -
VirusBuster 4.6.5.0 2009.11.04 -
weitere Informationen
File size: 25984 bytes
MD5...: 463c16d4f2b291663ec8473e55a7fb60
SHA1..: 30396ec7e86537523436fcfc28c7419dc79cf791
SHA256: 826c4d5afa6cb6e20d17ce1da1b880827cf7d32e337a77dcaf8e282ea51ecbc5
ssdeep: 768:80Fz7CBeDucpqpcJQqK7S39NuF9WvLmdb:9oeaO9JVK4v4b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xe10a
timedatestamp.....: 0x3e02329c (Thu Dec 19 20:57:00 2002)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4e00 0x4e00 6.77 bde54932578d23e2983e6c3255abd835
.rdata 0x6000 0xc00 0xc00 2.52 040cfe68d6c4b7f87df00f5bd6987ddc
.data 0x7000 0x45d8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rsrc 0xc000 0xbd0 0x600 3.29 bd9b01cb92656312b09f696031159349
Oreloc 0xd000 0x800 0x800 1.89 4b51621564ffa15ffe5fcded674378e2
.neolit 0xe000 0x18ea 0x1a00 6.49 98146d643b19ed846f62e355d50cef63
.reloc 0x10000 0xdc 0x200 3.24 6ef62733de7a3720f3d5e8aa3c2eb561

( 2 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA
> USER32.dll: GetWindowTextA

( 2 exports )
_WILExtender2@40, _WILExtenderQuery@12
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Wilson WindowWare, Inc.
copyright....: Copyright (c) 1994-2003 Wilson WindowWare, Inc. All rights reserved.
product......: WIL WILX Extender DLL
description..: WIL WILX Extender DLL
original name: n/a
internal name: WILX Extender
file version.: 39000
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): NeoLite
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9</a>
packers (F-Prot): Neolite

------------------------EoF---------------

Sieht nicht so gut aus.

Nochmal zu gmer:
Da ja KIS mosert: Ist die Tätigkeit von gmer, sich einen Treiber laden zu wollen bekannt? Ist das ungefährlich?
Werd das jetzt mal ohne Netzverbindung und ohne KIS machen. Dann meld ich mich wieder.

Erstmal vielen Dank für die Antworten!
(Ganz im Vertrauen: Ist da noch was zu retten?)

Chris4You · 05.11.2009, 10:22

Hi,

ja GMER lädt Treiber nach und benutzt ähnliche Mechanismen wie ein Rootkit (schließlich soll es die ja finden)...

WILX34I.DLL: Das sieht mehr nach einem f/p aus, nenne die Datei einfach mal um (hänge hinten ein .vir an ->WILX34I.DLL.vir). Damit wird sie nichtmehr gefunden und kann nicht gestartet werden...

chris

icke040 · 06.11.2009, 21:52

Hallo,

da bin ich wieder. Muss nebenbei noch ein bisschen Geld für die Miete verdienen.

gmer mag mich oder meinen Computer nicht. Entweder stürzt GMER ab oder der Computer selbst. Auch wenn KIS ausgeschaltet ist.

Der Scan mit vipre lief durch. Screenshot ist angehängt. Die xml-File kann ich ja nicht anhängen, daher steht der Text hier drunter.

Obwohl da 3 threats behoben wurden, bekomme ich die Meldung von KIS (Generic Host Process) immer noch. Und eine neue (die rote).

WILX34I.DLL hab ich umbenannt. Ist die damit inaktiv? Kann ich die Datei nicht auch löschen?

Bis bald!

------------------------
<SBCSThreatEngineResults version="3.1.2837">
−
<summary scanGUID="{99BEFF9C-1BE4-4E87-A14A-931F9A412A01}" scanDescription="" threatDefinitionVersion="5491">
−
<scannerResults>
<numThreats found="3" ignored="0"/>
<numTracesScanned cookies="0" registry="20594" files="73833" folders="5314" processes="30" archives="0" procModule="1534" procMemory="0" threads="0" sysModules="132" ssdt="284" ntdllExport="1315" ntosExport="1482" hookIAT="74" scanSysEnter="1" hookDevice="1045" hookCodeSectionRing0="22" hookCodeSectionRing3="2" MBR="2" total="105664"/>
<numTracesFound cookies="0" registry="0" files="3" folders="0" processes="0" archives="0" procModule="0" procMemory="0" threads="0" sysModules="0" ssdt="0" ntdllExport="0" ntosExport="0" hookIAT="0" scanSysEnter="0" hookDevice="0" hookCodeSectionRing0="0" hookCodeSectionRing3="0" MBR="0" total="3"/>
<dateTimeStampUTC start="2009-11-06T08:18:46" end="2009-11-06T09:19:07"/>
<errors/>
</scannerResults>
−
<cleanerResults>
<numThreats deleted="0" quarantined="3" ignored="0" reportonly="0" total="3"/>
<dateTimeStampUTC start="2009-11-06T09:19:07" end="2009-11-06T09:19:09"/>
<errors/>
</cleanerResults>
</summary>
−
<scannerOptions scanAllLocalDrives="true" excludeRemovableDrives="true" scanCookies="false" scanProcesses="true" scanProcessThread="true" scanRegistry="true" scanProcessesDeep="true" suspendActiveThreats="true" scanAllUsers="true" useFileNameAndCRC8="true" dontCalcCRC8="false" scanCommonTactics="true" scanArchives="false" scanKnownFileTypes="false" recursiveFileScan="true" findLowRiskThreats="true" keepScanRecord="true" maxCheckFileLen="6291456" minCheckFileLen="0" scanVipreSuspicious="false" scanDerivatives="true" scanRootkits="true" scanProcessMemory="true" scanSystemModule="true" ssdt="true" ntdllExport="true" ntosExport="true" hookIAT="true" scanSysEnter="true" scanDevice="true" scanCodeSectionRing0="true" scanCodeSectionRing3="true" scanMBR="true">
<userIncludedPaths/>
<userExcludedPaths/>
<ignoredThreats/>
</scannerOptions>
<cleanerOptions/>
−
<threats>
−
<threat id="45124" name="Trojan.Unclassified.gen" level="2" category="Trojan" type="Malware" quarantineId="{4C9060A4-1437-4460-AA78-69108353D147}" adviseType="3" canQuarantine="true" author="" optionalScan="0" actionRequested="-1" cleanerResult="3">
<authorURL/>
−
<desc>
Trojan is a general term for malicious software that is installed under false or deceptive pretenses or is installed without the user's full knowledge and consent. Most Trojans exhibit some form of malicious, hostile, or harmful functionality or behavior.
</desc>
−
<threatAdviceDetails>
This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer's settings without your knowledge and consent, or severely degrade your computer's performance and stability.
</threatAdviceDetails>
<customData/>
−
<traces>
−
<trace type="4" dispValue="C:\Programme\FastStone Image Viewer\uninst.exe">
<attr n="hidden" v="true"/>
<attr n="path" v="C:\Programme\FastStone Image Viewer\uninst.exe"/>
<attr n="fileSize" v="35487"/>
<attr n="crc8" v="E9F8B2ABFA5B0000"/>
<attr n="md5" v="333526B65A16D054A57C1016ACA41601"/>
<attr n="detectionType" v="1"/>
</trace>
</traces>
</threat>
−
<threat id="4151482" name="Packed.Win32.Tdss.Gen (v)" level="2" category="Backdoor" type="Malware" quarantineId="{C40E63E7-29A2-455F-A472-703DC96E93EC}" adviseType="3" canQuarantine="true" author="" optionalScan="0" actionRequested="-1" cleanerResult="3">
<authorURL/>
−
<desc>
A Backdoor is a software program that gives an attacker unauthorized access to a machine and the means for remotely controlling the machine without the user's knowledge. A Backdoor compromises system integrity by making changes to the system that allow it to by used by the attacker for malicious purposes unknown to the user.
</desc>
−
<threatAdviceDetails>
This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer's settings without your knowledge and consent, or severely degrade your computer's performance and stability.
</threatAdviceDetails>
<customData/>
−
<traces>
−
<trace type="4" dispValue="C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\c.exe">
<attr n="hidden" v="true"/>
<attr n="path" v="C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\c.exe"/>
<attr n="fileSize" v="83968"/>
<attr n="crc8" v="909E55A891F80000"/>
<attr n="md5" v="9CD27635C122FA730DB59104B53B628C"/>
</trace>
</traces>
</threat>
−
<threat id="4150696" name="Trojan.Win32.Generic!BT" level="2" category="Trojan" type="Malware" quarantineId="{AEF2BF41-FB16-46B2-82C2-12B9CBE74BA4}" adviseType="3" canQuarantine="true" author="" optionalScan="0" actionRequested="-1" cleanerResult="3">
<authorURL/>
−
<desc>
Trojan is a general term for malicious software that is installed under false or deceptive pretenses or is installed without the user's full knowledge and consent. Most Trojans exhibit some form of malicious, hostile, or harmful functionality or behavior.
</desc>
−
<threatAdviceDetails>
This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer's settings without your knowledge and consent, or severely degrade your computer's performance and stability.
</threatAdviceDetails>
<customData/>
−
<traces>
−
<trace type="4" dispValue="E:\Private\Bilder\Flash\frogbender\frogbender.exe">
<attr n="hidden" v="true"/>
<attr n="path" v="E:\Private\Bilder\Flash\frogbender\frogbender.exe"/>
<attr n="fileSize" v="678829"/>
<attr n="crc8" v="8962A3DF162A0000"/>
<attr n="md5" v="E07E388DC5EB37F6AB26530C8EB2AB73"/>
<attr n="detectionType" v="1"/>
</trace>
</traces>
</threat>
</threats>
</SBCSThreatEngineResults>

-----------------EoF--------------------

Chris4You · 06.11.2009, 22:04

Hi,

da haben wir mit hoher Wahrscheinlichkeit eine neue Variante eines TDSS-Rootkits vor uns....

Der schafft GMER, Avira und co...

Hmm, HardCore:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe, nenne es bereits im Downloadialog auf test.exe um und speichert es auf den Desktop. Rechner vom Netz trennen, Kapi komplett deaktivieren!
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren (ggf. Zwischenspeichern per Editor) und in deinem Thread einfuegen.

Wenn wir damit nicht weiterkommen, müssen wir von aussen über eine Bood-CD scannen...

chris

icke040 · 08.11.2009, 09:31

Guten Morgen,

na da bin ich ja stolz, dass ich eine neue Variante habe.

hab nachts über Combofix laufen lassen.

Da kamen einige Meldungen von meinem Computer, weil keine "Wiederherstellungskonsole" installiert war. Deshalb musste ich das LAN-Kabel wieder anschließen und diese Konsole von Combofix runterladen lassen.

Übrigens kam der Neustart nicht automatisch, wie von Combofix gesagt. Hab ich dann nach eingen Stunden Wartens selbst gemacht, dann erst kam auch die log.txt.

Nach dem Scan hab ich nochmal Prevx laufen lassen, und siehe da, es sind wieder drei threats.

Ist jetzt die Boot-CD angesagt?

Bis bald und Danke!

-------------------
ComboFix 09-11-07.02 - Besitzer 08.11.2009 0:16.1.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\Test.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\inst.exe
C:\LOG2.tmp
C:\LOG3.tmp
C:\LOG4.tmp
C:\LOG5.tmp
H:\Autorun.inf

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it

wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-10-08 bis 2009-11-08 ))))))))))))))))))))))))))))))
.

2009-11-08 07:21 . 2009-11-08 07:21 34360 ----a-w- c:\windows\system32\drivers\sbapifs.sys
2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat
2009-11-07 22:15 . 2009-11-08 07:23 16384 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe
2009-11-07 20:23 . 2009-11-08 07:22 16384 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\0b30a01419.exe
2009-11-07 20:23 . 2009-11-07 20:24 101888 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\0b30a0141.dll
2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-06 08:18 . 2009-11-06 09:19 -------- d-----w- C:\VIPRERESCUE
2009-11-02 20:38 . 2009-11-02 20:34 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-11-02 20:32 . 2009-11-02 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.housecall6.6
2009-11-01 13:19 . 2009-11-01 13:19 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-01 13:18 . 2009-11-01 13:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-11-01 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-01 13:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-10-24 07:10 . 2009-10-24 07:10 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-10-24 07:10 . 2009-10-24 07:10 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-10-24 07:09 . 2009-10-24 07:09 787000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI\~PrevxCSIUpdate.exe
2009-10-11 08:07 . 2009-10-23 20:50 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.gigaflat
2009-10-11 08:06 . 2009-10-11 08:06 -------- d-----w- c:\programme\Gigaflat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-08 07:23 . 2009-06-22 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-08 07:20 . 2009-06-22 15:17 319520 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-08 07:20 . 2009-06-22 15:17 2172 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-08 07:20 . 2009-06-22 15:17 2050080 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-08 07:20 . 2009-06-22 15:17 19192 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-07 21:54 . 2006-10-17 11:41 -------- d-----w- c:\programme\Zoom Player
2009-11-02 09:06 . 2009-06-30 21:08 117760 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-10-25 22:05 . 2008-09-01 19:01 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-10-25 21:53 . 2008-09-01 19:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-25 07:40 . 2004-11-11 12:00 48276 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 07:40 . 2004-11-11 12:00 316942 ----a-w- c:\windows\system32\perfh007.dat
2009-10-24 07:27 . 2008-09-04 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-10-18 20:27 . 2008-09-03 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-10-14 18:44 . 2009-06-22 15:21 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-14 18:44 . 2009-06-22 15:21 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-07 13:41 . 2009-10-07 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-07 12:02 . 2007-08-27 09:26 27944 ----a-w- c:\windows\system32\SBBD.exe
2009-08-30 18:42 . 2009-08-30 18:42 59920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll
2009-08-30 18:42 . 2009-08-30 18:42 109072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll
2004-03-11 12:27 . 2007-01-19 16:56 40960 ----a-w- c:\programme\Uninstall_CDS.exe
2006-05-03 10:06 . 2008-05-18 15:59 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-18 15:59 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-18 15:59 27648 --sh--w- c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

[-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-11-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-18 2000112]
"WAB"="c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\0b30a01419.exe" [2009-11-08 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"SBCSTray"="c:\programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 698864]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2007-08-14 1228800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-10-11 17:22 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
"midi2"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
"aux2"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
"mixer1"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
"midi1"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
"wave2"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
"aux1"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
"mixer2"=c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 16:29 33808]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.10.2009 08:10 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.10.2009 08:10 27656]
R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [26.03.2008 12:53 15544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [19.08.2008 22:34 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [19.08.2008 22:34 74480]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [06.11.2009 09:18 93872]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 17:02 26640]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [19.08.2008 22:34 7408]
S3 EC168BDA;EC168BDA service;c:\windows\system32\drivers\EC168BDA.sys [09.11.2008 13:28 87296]
S3 ptiusbf;PTI USB Filter;c:\windows\system32\drivers\ptiusbf.sys [14.04.2001 00:22 22474]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SBAPIFS
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de&source=iglk
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-rundll32.exe - (no file)
SafeBoot-AVG Anti-Spyware Driver
SafeBoot-AVG Anti-Spyware Guard
AddRemove-FastStone Image Viewer - c:\programme\FastStone Image Viewer\uninst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-08 08:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Ahead\InCD\InCDsrv.exe
c:\windows\system32\bgsvcgen.exe
c:\programme\Maxtor\Sync\SyncServices.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-08 8:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-08 07:29

Vor Suchlauf: 10 Verzeichnis(se), 22.406.352.896 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.316.965.888 Bytes frei

- - End Of File - - 3A8142B6D9DA5E81AAF6E245F278AA3C

Was heißt eigentlich "Kitty ate it"

Chris4You · 08.11.2009, 15:43

Hi,

da haben wir den Fiesling, der aber schon wieder alles nachgeladen hat:
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it wurde wiederhergestellt.
Das ist ein Treiber ganz unten zum Lesen von Festplatte... Daher hat GMER nicht funktioniert und die anderen Scanner finden nichts...

Allerdings ist das schon wieder da:
009-11-08 07:21 . 2009-11-08 07:21 34360 ----a-w- c:\windows\system32\drivers\sbapifs.sys
2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat
2009-11-07 22:15 . 2009-11-08 07:23 16384 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macrome dia\Common\0b30a01419.exe
2009-11-07 20:23 . 2009-11-08 07:22 16384 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\ Common\0b30a01419.exe
2009-11-07 20:23 . 2009-11-07 20:24 101888 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\ Common\0b30a0141.dll
2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys

Da wir letztendlich nicht wissen, was sonst noch alles verändert wurde, solltest Du Neuaufsetzten.

Als letzten Versuch kann ich CF scripten, dann muss allerdings alles komplett offline erfolgen, sonst laden die Teile wieder nach....

Und noch was, prüfe unbeding die Datei (c:\windows\system32\DRIVERS\atapi.sys) bei Virustotal, ev. ist die Backupcopy ebenfalls verseucht...

Achso und Kitty ate it dürfte ein Gruß vom Hacker sein...
Die Datei müssen wir auch noch von CF-Backup hochladen, damit sie in die nächsten Signaturupdates rein kommt..

chris

icke040 · 08.11.2009, 22:14

Hallo,

na das sind ja ermutigende Aussichten. Kitty ist also der Bösewicht.

Habe c:\windows\system32\DRIVERS\atapi.sys bei virustotal checken lassen:

Datei atapi.sys empfangen 2009.11.08 20:52:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/40 (2.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.08 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.08 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.08 -
AVG 8.5.0.423 2009.11.08 -
BitDefender 7.2 2009.11.08 -
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.08 -
Comodo 2888 2009.11.08 -
DrWeb 5.0.0.12182 2009.11.08 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.08 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.08 -
GData 19 2009.11.08 -
Ikarus T3.1.1.74.0 2009.11.08 -
Jiangmin 11.0.800 2009.11.08 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.08 -
McAfee 5796 2009.11.08 -
McAfee+Artemis 5796 2009.11.08 -
McAfee-GW-Edition 6.8.5 2009.11.08 Heuristic.BehavesLike.Win32.Rootkit.H
Microsoft 1.5202 2009.11.08 -
NOD32 4585 2009.11.08 -
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.08 -
Panda 10.0.2.2 2009.11.08 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.08 -
Rising 21.54.62.00 2009.11.08 -
Sophos 4.47.0 2009.11.08 -
Sunbelt 3.2.1858.2 2009.11.08 -
Symantec 1.4.4.12 2009.11.08 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.08 -
VBA32 3.12.10.11 2009.11.07 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.08 -
weitere Informationen
File size: 95360 bytes
MD5...: cdfe4411a69c224bd1d11b2da92dac51
SHA1..: a42fbfeb5a4d94118b483d7f18113aa8c329a052
SHA256: 0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d
ssdeep: 1536:BVzXEOXUOyD8HT6OhAVJqNoQrPs2W7IDdXBoDZYkvR5TJWBwEsjG0cXFIQ0
bbZPO:BVL/Eiz6OhrNoQzsnwBoDjR51hljrckO
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x155f7
timedatestamp.....: 0x41107b4d (Wed Aug 04 05:59:41 2004)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x9672 0x9680 6.45 70b67d65eb28dcccdcba61a31c4d40e2
NONPAGE 0x9a00 0x18e8 0x1900 6.48 5629c7db94fbcf0123c267ec52f0c942
.rdata 0xb300 0xa54 0xa80 4.37 569d2979d21f645730a1a59fd512d25c
.data 0xbd80 0xd94 0xe00 0.44 77b784be18c5257bf3b9c132a03019db
PAGESCAN 0xcb80 0x154f 0x1580 6.15 d1c7adb0c1e5491b58c485d62076561f
PAGE 0xe100 0x5f54 0x5f80 6.46 0951fe4f10eee3d01d5d5aab9a0472bc
INIT 0x14080 0x22a0 0x2300 6.48 4354ab341533bda39d4f4dc3548ef9bd
.rsrc 0x16380 0x3f0 0x400 3.40 0184b21986944fd39532f818b4c642ab
.reloc 0x16780 0xcf0 0xd00 6.46 ae8fd4a932f7899f6257876856210914

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, PoCallDriver, IoCreateDevice, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, KeCancelTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, RtlCopyUnicodeString, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): PE_Patch
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

-------------------------

Dem Rest deiner Mitteilung kann ich nicht so recht folgen.

Was heißt

Zitat:

Als letzten Versuch kann ich CF scripten, dann muss allerdings alles komplett offline erfolgen, sonst laden die Teile wieder nach....

und

Zitat:

Die Datei müssen wir auch noch von CF-Backup hochladen, damit sie in die nächsten Signaturupdates rein kommt..

?

Ich bin nicht so oft von solchen Problemen betroffen. Ein wenig stolz macht es mich dennoch, dass ich der erste war, der diesen netten Gast

hatte (oder besser: Immer noch bewirtet)

Übrigens kommt die KIS-Warnung bezügl. Generic Host Dingsbums nicht mehr. Hat Combofix da was bewirkt, oder ist CF "nur" ein Scanner?

Egal was hier weiter rauskommt, mich hat beindruckt, dass du immer wusstest, worum es geht. Weiter so!

Na dann, bis bald.