Mal wieder nen Problemchen

Rint · 28.06.2010, 14:07

Hallo Leute,
und auch bei mir hat sich anscheinend wieder mal ein Plagegeist eingeschlichen!
Mein Inet-Explorer, den ich nicht benutze öffnet sich immer mal wieder mit irgendner Werbung.
Hier mein hijackthis-Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:56:02, on 28.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Edimax\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\rundll32.exe
C:\DOKUME~1\Jens\LOKALE~1\Temp\Pd2.exe
C:\WINDOWS\Pvylya.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QNB2EB90WX] C:\DOKUME~1\Jens\LOKALE~1\Temp\Pd2.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-746137067-606747145-682003330-1004\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'rint')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Global Startup: Edimax Wireless Utility.lnk = C:\Programme\Edimax\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 7765 bytes

Hacker · 28.06.2010, 14:36

Check mal folgende Dateien bei Virustotal.com

Zitat:

C:\DOKUME~1\Jens\LOKALE~1\Temp\Pd2.exe
C:\WINDOWS\Pvylya.exe

Poste das Log dann hier.
Mach ausserdem ein VOLLSTÄNDIGEN Suchlauf mit Malwarebytes.
Das Log dann auch hier Posten.

Rint · 28.06.2010, 15:03

Datei Pvylya.exe empfangen 2010.06.28 13:59:13 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 8/41 (19.52%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.30 2010.06.22 -
AhnLab-V3 2010.06.22.00 2010.06.22 -
AntiVir 8.2.2.6 2010.06.21 -
Antiy-AVL 2.0.3.7 2010.06.22 -
Authentium 5.2.0.5 2010.06.22 -
Avast 4.8.1351.0 2010.06.21 -
Avast5 5.0.332.0 2010.06.21 Win32:SuspBehav-E
AVG 9.0.0.787 2010.06.21 -
BitDefender 7.2 2010.06.22 -
CAT-QuickHeal 10.00 2010.06.22 -
ClamAV 0.96.0.3-git 2010.06.22 -
Comodo 5180 2010.06.22 -
DrWeb 5.0.2.03300 2010.06.22 -
eSafe 7.0.17.0 2010.06.20 -
eTrust-Vet 36.1.7657 2010.06.22 Win32/FakeCodec.C!generic
F-Prot 4.6.1.107 2010.06.21 -
F-Secure 9.0.15370.0 2010.06.22 Suspicious:W32/Malware!Gemini
Fortinet 4.1.133.0 2010.06.21 -
GData 21 2010.06.22 -
Ikarus T3.1.1.84.0 2010.06.22 -
Jiangmin 13.0.900 2010.06.15 -
Kaspersky 7.0.0.125 2010.06.22 -
McAfee 5.400.0.1158 2010.06.22 Downloader-CEW.b
McAfee-GW-Edition 2010.1 2010.06.22 -
Microsoft 1.5902 2010.06.22 -
NOD32 5216 2010.06.21 -
Norman 6.05.06 2010.06.21 -
nProtect 2010-06-21.01 2010.06.21 -
Panda 10.0.2.7 2010.06.21 Suspicious file
PCTools 7.0.3.5 2010.06.22 -
Prevx 3.0 2010.06.28 Medium Risk Malware
Rising 22.53.01.04 2010.06.22 -
Sophos 4.54.0 2010.06.22 Mal/FakeAV-CX
Sunbelt 6483 2010.06.21 VirTool.Win32.Obfuscator.hg!b (v)
Symantec 20101.1.0.89 2010.06.22 -
TheHacker 6.5.2.0.302 2010.06.22 -
TrendMicro 9.120.0.1004 2010.06.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.22 -
VBA32 3.12.12.5 2010.06.22 -
ViRobot 2010.6.21.3896 2010.06.22 -
VirusBuster 5.0.27.0 2010.06.21 -
weitere Informationen
File size: 177152 bytes
MD5...: 544e74a5c2d8e390d3f80b8539265ed1
SHA1..: efa58864294715aeb2da0434c9ae662e38b9ada1
SHA256: c325d84409207299c025c1e8ed74aedc633a60a45ede0160a6bf0076203083d4
ssdeep: 3072:O3A1eHTgqhH/dHZPoVHSkikRVbhu1zCAu3Iut:1e9d5PoVykNVbhuVJAIO
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3af3
timedatestamp.....: 0x4a980ab8 (Fri Aug 28 16:50:00 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x72ad 0x7400 3.58 45360c98bfe9d3bfedde7e2dd263400f
.tls 0x9000 0x1e258 0x400 2.52 0c5decf261ff098fdbd4034d01acd9d8
.bss 0x28000 0x2290a 0x22a00 7.19 eb14608e281d52892ea4cc3940a2ebc5
.data 0x4b000 0x66c 0x800 0.00 c99a74c555371a433d121f551d6c6398
.idata 0x4c000 0x40c 0x600 0.53 e40b3330c5fd25f04982088c4af7e396

( 12 imports )
> OLE32.dll: CreateBindCtx, CoDisconnectObject, MkParseDisplayName
> user32.dll: EnableScrollBar, RegisterClipboardFormatA, SetMenuItemInfoA, SetClipboardData, SetClassLongA, DestroyIcon, ScrollWindow, SetWindowPlacement, UpdateWindow, IsRectEmpty, DefFrameProcA, IsWindowUnicode, ReleaseCapture, MapWindowPoints, LoadCursorA, PostQuitMessage, PeekMessageA, BeginPaint, LoadKeyboardLayoutA, SetCursor, GetKeyboardState, RemovePropA, SendMessageA, EqualRect, GetKeyboardLayout, EnableWindow, EnumChildWindows, PtInRect, OpenClipboard, CreateIcon, GetKeyboardLayoutNameA, GetScrollPos, GetClassInfoA, GetWindowLongW, LoadIconA, GetPropA, CallNextHookEx, GetClipboardData, SetWindowLongW, GetKeyboardType, SetParent, IsZoomed, GetForegroundWindow, IsWindowVisible, ShowOwnedPopups, GetClientRect, DefMDIChildProcA, SendMessageW, MsgWaitForMultipleObjects, IsWindowEnabled, CharLowerA, PeekMessageW, InvalidateRect, DispatchMessageW, SetWindowsHookExA, CreateMenu, SetCapture, SetFocus, DefWindowProcA, GetKeyState, UnregisterClassA, DrawIcon, EnableMenuItem, MapVirtualKeyA, IsIconic, GetTopWindow, ReleaseDC, GetMenuState, FillRect, GetWindowLongA, KillTimer, SetScrollPos, EnumWindows, DispatchMessageA, WaitMessage, AdjustWindowRectEx, GetWindowTextA, LoadBitmapA, MessageBeep, FrameRect, DrawFrameControl, SetScrollInfo, SetRect, SetForegroundWindow, SetWindowPos, GetSubMenu, DestroyCursor, WindowFromPoint, CloseClipboard, RegisterClassA, GetMenu, GetCapture, GetScrollInfo, RegisterWindowMessageA, SetTimer, CreateWindowExA, SetMenu, DeleteMenu, GetDlgItem, GetWindowThreadProcessId, CharNextW, IntersectRect, GetActiveWindow, GetDCEx, ClientToScreen, EndPaint, TrackPopupMenu, GetSystemMetrics, GetMessagePos, SetWindowLongA, ScreenToClient, DrawTextA, GetFocus
> COMDLG32.dll: FindTextA, GetOpenFileNameA
> VERSION.dll: VerInstallFileA
> KERNEL32.dll: GetModuleHandleA, SetLastError, GetProcAddress, LoadLibraryA, ExitThread, VirtualAllocEx, GetFileSize, GetFileType, GetACP, ExitProcess, Sleep
> SHELL32.dll: Shell_NotifyIconA, SHGetFileInfoA, DragQueryFileA, SHGetDesktopFolder, SHGetFolderPathA
> gdi32.dll: CreateDIBSection, GetCurrentPositionEx, CreateBrushIndirect, GetRgnBox, SetPixel, CreatePalette, CreateCompatibleDC, SelectObject, GetPixel
> OLEAUT32.dll: OleLoadPicture, SafeArrayGetElement, RegisterTypeLib
> SHLWAPI.dll: SHDeleteKeyA, SHEnumValueA, SHSetValueA, PathIsDirectoryA, SHQueryValueExA, PathGetCharTypeA
> msvcrt.dll: strncmp, log, memcpy
> advapi32.dll: RegCreateKeyA, RegQueryValueExA
> COMCTL32.dll: ImageList_Read, ImageList_DrawEx, ImageList_Destroy

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=641BD7B700A32018B44402BD2DF4640000444E44' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=641BD7B700A32018B44402BD2DF4640000444E44</a>

Datei Pd2.exe empfangen 2010.06.28 14:01:39 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/41 (26.83%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.30 2010.06.28 -
AhnLab-V3 2010.06.27.01 2010.06.27 -
AntiVir 8.2.4.2 2010.06.28 -
Antiy-AVL 2.0.3.7 2010.06.25 -
Authentium 5.2.0.5 2010.06.27 -
Avast 4.8.1351.0 2010.06.28 Win32:MalOb-BL
Avast5 5.0.332.0 2010.06.28 Win32:MalOb-BL
AVG 9.0.0.836 2010.06.28 -
BitDefender 7.2 2010.06.28 -
CAT-QuickHeal 10.00 2010.06.28 -
ClamAV 0.96.0.3-git 2010.06.28 -
Comodo 5244 2010.06.28 -
DrWeb 5.0.2.03300 2010.06.28 -
eSafe 7.0.17.0 2010.06.28 -
eTrust-Vet 36.1.7671 2010.06.28 Win32/Renos.D!generic
F-Prot 4.6.1.107 2010.06.27 -
F-Secure 9.0.15370.0 2010.06.28 Suspicious:W32/Malware!Gemini
Fortinet 4.1.133.0 2010.06.27 -
GData 21 2010.06.28 Win32:MalOb-BL
Ikarus T3.1.1.84.0 2010.06.28 -
Jiangmin 13.0.900 2010.06.27 -
Kaspersky 7.0.0.125 2010.06.28 -
McAfee 5.400.0.1158 2010.06.28 Downloader-CEW.b
McAfee-GW-Edition 2010.1 2010.06.28 -
Microsoft 1.5902 2010.06.28 -
NOD32 5234 2010.06.28 -
Norman 6.05.10 2010.06.28 Suspicious_Gen2.BGJBW
nProtect 2010-06-28.01 2010.06.28 -
Panda 10.0.2.7 2010.06.28 Suspicious file
PCTools 7.0.3.5 2010.06.28 -
Prevx 3.0 2010.06.28 Medium Risk Malware
Rising 22.54.00.04 2010.06.28 -
Sophos 4.54.0 2010.06.28 Mal/FakeAV-CX
Sunbelt 6516 2010.06.28 VirTool.Win32.Obfuscator.hg!b (v)
Symantec 20101.1.0.89 2010.06.28 -
TheHacker 6.5.2.0.304 2010.06.28 -
TrendMicro 9.120.0.1004 2010.06.28 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.28 -
VBA32 3.12.12.5 2010.06.28 -
ViRobot 2010.6.26.3907 2010.06.26 -
VirusBuster 5.0.27.0 2010.06.27 -
weitere Informationen
File size: 174080 bytes
MD5...: 8269aa589cff9992e7c58e83d2c979d8
SHA1..: 86da6e44174e7e29fba7ccf880cb889808d899c2
SHA256: eda8484767673a6818b9a8b858d224ea080f9c42d6931206637edd50c1ad27a9
ssdeep: 3072:tH+U/ONb5SI9FTPejayqFiCzQ6ktShwc7LPr3qgNldaRpFN:LO/FYqslIui
3qgU
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a2c
timedatestamp.....: 0x4af82f6b (Mon Nov 09 15:04:11 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x7959 0x7a00 3.57 042da1a4047698069825e789993ddc7f
.tls 0x9000 0xf268 0x400 2.62 6f34815991dc97171f26f4e447142c85
.rdata 0x19000 0x223f4 0x22400 7.07 f232ebe36c2c2342b62a03a9c4d4a26e
.idata 0x3c000 0x5f 0x200 0.53 34ae364540b63d52bb9f2f7f990d70df

( 12 imports )
> comctl32.dll: ImageList_DragShowNolock, ImageList_DrawEx, ImageList_Add, ImageList_Destroy, ImageList_Write, ImageList_Read, ImageList_Create, ImageList_Remove, ImageList_GetBkColor
> VERSION.DLL: GetFileVersionInfoSizeA, VerFindFileA, VerInstallFileA
> shell32.dll: SHGetFolderPathA, DragQueryFileA
> ADVAPI32.DLL: RegCreateKeyExA, GetLengthSid
> comdlg32.dll: GetSaveFileNameA, ChooseColorA, FindTextA
> SHLWAPI.DLL: SHStrDupA, SHGetValueA, SHDeleteKeyA
> msvcrt.dll: memcpy, swprintf, strncmp, log, memmove, tan, mbstowcs, cos
> ole32.dll: StgOpenStorage, CreateStreamOnHGlobal, CoGetContextToken, CoGetMalloc, CreateOleAdviseHolder, CreateBindCtx, CLSIDFromProgID, WriteClassStm
> user32.dll: GetCapture, GetCursorPos, DrawEdge, FindWindowA, GetWindowThreadProcessId, GetClassNameA, DrawFrameControl, LoadCursorA, WindowFromPoint, GetDesktopWindow, SetScrollRange, IsDialogMessageA, PeekMessageW, DrawTextA, GetWindowTextA, IsIconic, SetFocus, GetClientRect, SendMessageW, CreateMenu, GetMenuItemInfoA, TranslateMessage, SetActiveWindow, GetWindowDC, CreateIcon, GetMenu, OffsetRect, RegisterClassA, InsertMenuItemA, GetFocus, ClientToScreen, wsprintfA, IsWindowVisible, GetForegroundWindow, GetKeyboardLayout, RemoveMenu, ScrollWindow, SetMenu, DestroyIcon, FillRect, GetWindowLongW, GetSysColorBrush, GetParent, DrawAnimatedRects, GetClipboardData, GetKeyboardLayoutList, IntersectRect, SetWindowTextA, CallNextHookEx, GetMessagePos, ShowScrollBar, GetTopWindow, OpenClipboard, SetMenuItemInfoA, MapWindowPoints, SetParent, GetSystemMenu, MsgWaitForMultipleObjects, DrawIconEx, PostQuitMessage, GetCursor, LoadKeyboardLayoutA, EnableWindow, CloseClipboard, OemToCharA, SystemParametersInfoA, CharLowerA, InsertMenuA, CharLowerBuffA, KillTimer, IsDialogMessageW, GetWindow, DeleteMenu, EndPaint, GetKeyboardLayoutNameA, CharNextW, GetIconInfo, GetWindowRect, EnableMenuItem, SetWindowPos, BeginPaint, SetWindowLongA, IsChild, DispatchMessageA, SetPropA, DestroyCursor, GetKeyboardType, EnumChildWindows, IsZoomed, PeekMessageA, SetForegroundWindow, GetKeyboardState, DispatchMessageW, CreateWindowExA, GetKeyState, GetClassInfoA, DestroyWindow, GetActiveWindow, CharUpperBuffA, GetMenuItemCount, WaitMessage, GetScrollInfo, SetCursor, GetDC, EmptyClipboard, CallWindowProcA, ReleaseCapture, GetPropA, TranslateMDISysAccel, SetScrollInfo, UnhookWindowsHookEx, DefFrameProcA, EnableScrollBar, SetWindowPlacement
> oleaut32.dll: SysFreeString, SafeArrayCreate, RegisterTypeLib, VariantCopyInd, SafeArrayUnaccessData, SafeArrayPtrOfIndex, SafeArrayGetElement, SysStringLen, SysReAllocStringLen, SysAllocStringLen
> gdi32.dll: CreateCompatibleDC, SelectObject, CopyEnhMetaFileA, GetCurrentPositionEx, CreateDIBitmap, GetDIBits, GetPixel, SetBkColor
> kernel32.dll: LoadLibraryA, GetModuleHandleA, GetProcAddress, RaiseException, GetFileAttributesA, GetFullPathNameA, GetVersionExA, VirtualQuery, ExitProcess, lstrcpynA, VirtualAlloc, FindResourceA, GetCurrentProcess

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=043779F200C803F0A82F021BF7DB7B00C8CAD40C' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=043779F200C803F0A82F021BF7DB7B00C8CAD40C</a>

Hacker · 28.06.2010, 18:43

Ha!
Gleich ein Doppel!

Dann mach jetzt noch den Vollscan mit Malwarebytes

Code:

ATTFilter

http://www.trojaner-board.de/51187-a...i-malware.html

Poste das Log dann hier.

Rint · 28.06.2010, 18:56

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4250

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

28.06.2010 19:48:55
mbam-log-2010-06-28 (19-48-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 201053
Laufzeit: 1 Stunde(n), 53 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\RZDVL2F27W (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qnb2eb90wx (Trojan.Fraudpack) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Jens\Eigene Dateien\desktop\Downloads\cl\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\Dokumente und Einstellungen\Jens\Eigene Dateien\desktop\Downloads\cl\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\d68qabo7.default\Cache\CB0A9E29d01 (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\Pd1.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\Pd5.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\Pdz.exe (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\Pd2.exe (Trojan.Fraudpack) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\sshnas21.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.

Hacker · 28.06.2010, 19:10

Oh.
Sieht ja schon mal lustig aus.
Lass alle Funde entfernen.

Mach danach noch einen Vollständigen scan.
Und einen frischen HijackThis Log
Beide Logs dann posten

Wichtig: Du hast einen Keylogger an Board. Ändere sofort alle Passwörter (E-Mail etc) an einem anderen PC

Mal wieder nen Problemchen

Plagegeister aller Art und deren Bekämpfung: Mal wieder nen Problemchen