Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Rootkit, cliconfg64.exe & winhlp64.exe

Rootkit, cliconfg64.exe & winhlp64.exe


Plagegeister aller Art und deren Bekämpfung: Rootkit, cliconfg64.exe & winhlp64.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.01.2010, 19:16   #1
Speed
 
Rootkit, cliconfg64.exe & winhlp64.exe - Icon21

Rootkit, cliconfg64.exe & winhlp64.exe


Hi, seit Gestern Mittag kommen bei mir Folgende Meldungen:




Hier das Gleiche mit Folgendem Banner hinterher (Rechts)


Ich hab AntiVir drauf und war davor auf Skipmasta (bin seit 3 Jahren dort Aktiv und es gab Bisher keine Probleme mit Viren)... Woher kommt das?

Habe danach den HiJackThisLog geladen.
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 15:40:42, on 18.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\WINDOWS\system32\cc32\webtmr.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\DOKUME~1\Rudi\LOKALE~1\Temp\cliconfg64.exe
C:\WINDOWS\tray\wintmr.exe
C:\DOKUME~1\Rudi\LOKALE~1\Temp\winhlp64.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rudi\Desktop\Hijackthis\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ColorNavigator] "C:\Programme\EIZO\ColorNavigator\ColorNavigatorAgent.exe"
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\sa23sl.exe
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\Macromedia\Common\9438003019.exe
O4 - HKCU\..\Run: [cliconfg64.exe] C:\DOKUME~1\Rudi\LOKALE~1\Temp\cliconfg64.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\943800301.dll",DllGetClassObject (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} (UI File Upload Control) - https://img.web.de/v/smartdrive/activex/v2/web_de_osupload_2002.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
O23 - Service: Google Update Service (gupdate1c9943e4f79762b) (gupdate1c9943e4f79762b) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe

--
End of file - 10683 bytes
Dann gings nach einer Kurzen Zeit weiter:

Fenster kam, mit der Meldung der PC werde in 30Sec Herunter gefahren.
Meldung mit diesem Teilinhalt:
Code:
ATTFilter
...Blocks Pornsite Visitors...
So, dann heute AntiVir meldung über die Dateien cliconfg64.exe & winhlp64.exe

Cliconfg konnte ich bei Virustotal Scannen lassen.
Ergebniss:

Code:
ATTFilter
Datei cliconfg64.exe empfangen 2010.01.19 17:02:33 (UTC)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.50	2010.01.19	Win32.SuspectCrc!IK
AhnLab-V3	5.0.0.2	2010.01.19	-
AntiVir	7.9.1.142	2010.01.19	-
Antiy-AVL	2.0.3.7	2010.01.19	-
Authentium	5.2.0.5	2010.01.19	-
Avast	4.8.1351.0	2010.01.19	-
AVG	9.0.0.730	2010.01.19	-
BitDefender	7.2	2010.01.19	-
CAT-QuickHeal	10.00	2010.01.19	-
ClamAV	0.94.1	2010.01.19	-
Comodo	3638	2010.01.19	-
DrWeb	5.0.1.12222	2010.01.19	Trojan.Packed.2936
eSafe	7.0.17.0	2010.01.19	-
eTrust-Vet	35.2.7245	2010.01.19	Win32/TDSS!packed
F-Prot	4.5.1.85	2010.01.18	-
F-Secure	9.0.15370.0	2010.01.19	Suspicious:W32/Malware!Gemini
Fortinet	4.0.14.0	2010.01.19	-
GData	19	2010.01.19	-
Ikarus	T3.1.1.80.0	2010.01.19	Win32.SuspectCrc
Jiangmin	13.0.900	2010.01.19	-
K7AntiVirus	7.10.950	2010.01.18	-
Kaspersky	7.0.0.125	2010.01.19	Packed.Win32.TDSS.aa
McAfee	5865	2010.01.18	-
McAfee+Artemis	5865	2010.01.18	Artemis!E426729030AE
McAfee-GW-Edition	6.8.5	2010.01.19	-
Microsoft	1.5302	2010.01.19	-
NOD32	4786	2010.01.19	a variant of Win32/Kryptik.BWS
Norman	6.04.03	2010.01.19	-
nProtect	2009.1.8.0	2010.01.19	-
Panda	10.0.2.2	2010.01.19	Suspicious file
PCTools	7.0.3.5	2010.01.19	-
Prevx	3.0	2010.01.19	-
Rising	22.31.01.04	2010.01.19	-
Sophos	4.49.0	2010.01.19	Sus/UnkPack-C
Sunbelt	3.2.1858.2	2010.01.19	-
Symantec	20091.2.0.41	2010.01.19	-
TheHacker	6.5.0.6.156	2010.01.19	-
TrendMicro	9.120.0.1004	2010.01.19	TROJ_TDSS.SMA
VBA32	3.12.12.1	2010.01.19	-
ViRobot	2010.1.19.2144	2010.01.19	-
VirusBuster	5.0.21.0	2010.01.19	-
weitere Informationen
File size: 712704 bytes
MD5   : e426729030aebc15a65994819dce721f
SHA1  : 8dfec47aca041d19559ae1427c6d57fd4ee962a3
SHA256: b04c5d751a518917354f3ebe6863007401e224fd26fd9b8a08e7609fcc118a10
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x1000<br> timedatestamp.....: 0x4B544D6C (Mon Jan 18 13:00:44 2010)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 5 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x2000 0x1400 4.35 e48499864a84fb015b447208289e5922<br>.rdata 0x3000 0xA2000 0x1000 2.99 25132840cf01b506e02faba993eaa8bf<br>.data 0xA5000 0xAA000 0xAA000 8.00 0cf0685f3dbe7ef75dfd315b5a41d77c<br>.idata 0x14F000 0x1000 0x1000 0.50 772fa49d56a09de5f556450f91d88ad6<br>.rsrc 0x150000 0x5C8 0x1000 4.27 54f4c4263f969935581fb8924f0b1b2d<br> <br> ( 3 imports )<br> <br>&gt; kernel32.dll: SetPriorityClass, GetCommandLineA, SetCommMask, VirtualProtect, ExitProcess<br>&gt; shell32.dll: StrChrA<br>&gt; user32.dll: ShowWindow, GetWindow<br> <br> ( 0 exports )<br>
TrID&nbsp;&nbsp;: File type identification<br>Win32 Executable Generic (38.4%)<br>Win32 Dynamic Link Library (generic) (34.2%)<br>Clipper DOS Executable (9.1%)<br>Generic Win/DOS Executable (9.0%)<br>DOS Executable Generic (9.0%)
ssdeep: 12288:z8Vb3p+8oxjFPUZDUSATfFV/XiatK2RdI8O6M1DqLgb6:zCNf8FsgTfmalLI8TEb6
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-

Antivirus;Version;letzte aktualisierung;Ergebnis
a-squared;4.5.0.50;2010.01.19;Win32.SuspectCrc!IK
AhnLab-V3;5.0.0.2;2010.01.19;-
AntiVir;7.9.1.142;2010.01.19;-
Antiy-AVL;2.0.3.7;2010.01.19;-
Authentium;5.2.0.5;2010.01.19;-
Avast;4.8.1351.0;2010.01.19;-
AVG;9.0.0.730;2010.01.19;-
BitDefender;7.2;2010.01.19;-
CAT-QuickHeal;10.00;2010.01.19;-
ClamAV;0.94.1;2010.01.19;-
Comodo;3638;2010.01.19;-
DrWeb;5.0.1.12222;2010.01.19;Trojan.Packed.2936
eSafe;7.0.17.0;2010.01.19;-
eTrust-Vet;35.2.7245;2010.01.19;Win32/TDSS!packed
F-Prot;4.5.1.85;2010.01.18;-
F-Secure;9.0.15370.0;2010.01.19;Suspicious:W32/Malware!Gemini
Fortinet;4.0.14.0;2010.01.19;-
GData;19;2010.01.19;-
Ikarus;T3.1.1.80.0;2010.01.19;Win32.SuspectCrc
Jiangmin;13.0.900;2010.01.19;-
K7AntiVirus;7.10.950;2010.01.18;-
Kaspersky;7.0.0.125;2010.01.19;Packed.Win32.TDSS.aa
McAfee;5865;2010.01.18;-
McAfee+Artemis;5865;2010.01.18;Artemis!E426729030AE
McAfee-GW-Edition;6.8.5;2010.01.19;-
Microsoft;1.5302;2010.01.19;-
NOD32;4786;2010.01.19;a variant of Win32/Kryptik.BWS
Norman;6.04.03;2010.01.19;-
nProtect;2009.1.8.0;2010.01.19;-
Panda;10.0.2.2;2010.01.19;Suspicious file
PCTools;7.0.3.5;2010.01.19;-
Prevx;3.0;2010.01.19;-
Rising;22.31.01.04;2010.01.19;-
Sophos;4.49.0;2010.01.19;Sus/UnkPack-C
Sunbelt;3.2.1858.2;2010.01.19;-
Symantec;20091.2.0.41;2010.01.19;-
TheHacker;6.5.0.6.156;2010.01.19;-
TrendMicro;9.120.0.1004;2010.01.19;TROJ_TDSS.SMA
VBA32;3.12.12.1;2010.01.19;-
ViRobot;2010.1.19.2144;2010.01.19;-
VirusBuster;5.0.21.0;2010.01.19;-

weitere Informationen
File&nbsp;size: 712704 bytes
MD5&nbsp;&nbsp;&nbsp;: e426729030aebc15a65994819dce721f
SHA1&nbsp;&nbsp;: 8dfec47aca041d19559ae1427c6d57fd4ee962a3
SHA256: b04c5d751a518917354f3ebe6863007401e224fd26fd9b8a08e7609fcc118a10
PEInfo: PE Structure information<br>	<br>	( base data )<br>	entrypointaddress.: 0x1000<br>	timedatestamp.....: 0x4B544D6C (Mon Jan 18 13:00:44 2010)<br>	machinetype.......: 0x14C (Intel I386)<br>	<br>	( 5 sections )<br>	name viradd virsiz rawdsiz ntrpy md5<br>	.text 0x1000 0x2000 0x1400 4.35 e48499864a84fb015b447208289e5922<br>.rdata 0x3000 0xA2000 0x1000 2.99 25132840cf01b506e02faba993eaa8bf<br>.data 0xA5000 0xAA000 0xAA000 8.00 0cf0685f3dbe7ef75dfd315b5a41d77c<br>.idata 0x14F000 0x1000 0x1000 0.50 772fa49d56a09de5f556450f91d88ad6<br>.rsrc 0x150000 0x5C8 0x1000 4.27 54f4c4263f969935581fb8924f0b1b2d<br>	<br>	( 3 imports )<br>	<br>&gt; kernel32.dll: SetPriorityClass, GetCommandLineA, SetCommMask, VirtualProtect, ExitProcess<br>&gt; shell32.dll: StrChrA<br>&gt; user32.dll: ShowWindow, GetWindow<br>	<br>	( 0 exports )<br>	
TrID&nbsp;&nbsp;: File type identification<br>Win32 Executable Generic (38.4%)<br>Win32 Dynamic Link Library (generic) (34.2%)<br>Clipper DOS Executable (9.1%)<br>Generic Win/DOS Executable (9.0%)<br>DOS Executable Generic (9.0%)
ssdeep: 12288:z8Vb3p+8oxjFPUZDUSATfFV/XiatK2RdI8O6M1DqLgb6:zCNf8FsgTfmalLI8TEb6
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-
Wenn ich die winhlp64.exe Prüfen lassen will, kommt:
Code:
ATTFilter
0 bytes size received / Se ha recibido un archivo vacio
So jetzt eine Weitere Merkwürdigkeit. Bei meinem Bro Tritt das Problem nicht auf (gleicher PC, selbe Festplatte usw. (über ihn kam der Virus auch ins System))

Was kann man da noch machen ausser Windoof neu Aufsetzen?

Da seitdem im Taskmanager unter Prozesse auch einige Komische Prozesse auftauchen... Wäre es möglich diese zu Beenden?

Die Weissen Stellen -> Da war mein Name

MfG und Danke im Vorraus

Alt 19.01.2010, 20:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit, cliconfg64.exe & winhlp64.exe - Standard

Rootkit, cliconfg64.exe & winhlp64.exe


Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________
Alt 19.01.2010, 20:37   #3
Speed
 
Rootkit, cliconfg64.exe & winhlp64.exe - Standard

Rootkit, cliconfg64.exe & winhlp64.exe


Auf mir Unbekannte Weise sind die Dateien weg und der Malware Defense auch... Keine Virenmeldung mehr, garnix...
__________________
Alt 19.01.2010, 20:38   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit, cliconfg64.exe & winhlp64.exe - Standard

Rootkit, cliconfg64.exe & winhlp64.exe


Trotzdem die Tools ausführen und Logs posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Rootkit, cliconfg64.exe & winhlp64.exe
0 bytes, antivir, antivir guard, avg, avira, becker, bho, browseui preloader, computer, desktop, einstellungen, festplatte, firefox, gen 2, google, gservice, gupdate, hijack, hkus\s-1-5-18, internet, internet explorer, jusched.exe, logfile, monitor, mozilla, neu aufsetzen, pdf-datei, plug-in, rootkit, rundll, shell32.dll, software, system, viren, virus, windows, windows xp


« Wie bekomm ich ihn ohne meine Pc zu Plätten? | Habe wohl einen Virus, ich brauche dringend Hilfe... »


Ähnliche Themen: Rootkit, cliconfg64.exe & winhlp64.exe


  1. - Rootkit entdeckt ! Win7 - Anti-Rootkit o. Neuinstallation ?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2014 (13)
  2. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  3. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  4. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  5. Rootkit.0Access / Rootkit.Agent
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  6. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  7. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  8. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  9. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  10. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  11. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.04.2010 (12)
  12. Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
    Log-Analyse und Auswertung - 06.03.2010 (41)
  13. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  14. TR/Rootkit.Gen
    Antiviren-, Firewall- und andere Schutzprogramme - 31.03.2009 (1)
  15. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 11.03.2007 (13)
  16. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2006 (1)
  17. Rootkit?!
    Log-Analyse und Auswertung - 12.08.2006 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit, cliconfg64.exe & winhlp64.exe - Hi, seit Gestern Mittag kommen bei mir Folgende Meldungen: Hier das Gleiche mit Folgendem Banner hinterher (Rechts) Ich hab AntiVir drauf und war davor auf Skipmasta (bin seit 3 Jahren - Rootkit, cliconfg64.exe & winhlp64.exe...
Archiv
Du betrachtest: Rootkit, cliconfg64.exe & winhlp64.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131