Trojaner-Board - messenger kann nicht installiert werden (directx.exe)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - messenger kann nicht installiert werden (directx.exe) (https://www.trojaner-board.de/37268-messenger-installiert-directx-exe.html)

messenger kann nicht installiert werden (directx.exe)

Hallo Zusammen,

nachdem ich versucht hatte den Yahoo Messenger zu installieren, brach diese immer wieder ab, bzw. startete nicht einmal. MSN ging ebenso wenig.

Nun dachte ich machen wir mal nen Hijackthis. Dabei bin ich dann auf die directx.exe in system32 gestoßen, welche nicht sauber scheint.

Hier mal das Hijackthis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:49:05, on 21.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Moldflow\Product Security\mfpsd.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Moldflow\Plastics Insight 5.0\bin\mpijm.exe
C:\WINDOWS\ime\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\*****\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{084E1BAD-3794-476B-A72C-68AB0C5A6116}: NameServer = 217.237.149.205 217.237.151.115
O17 - HKLM\System\CS1\Services\Tcpip\..\{084E1BAD-3794-476B-A72C-68AB0C5A6116}: NameServer = 217.237.149.205 217.237.151.115
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: DirectX Service (DirectJezx) - Unknown owner - C:\WINDOWS\system32\directx.exe
O23 - Service: Moldflow Product Security (MFPS Daemon) - Unknown owner - C:\Programme\Moldflow\Product Security\mfpsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SentinelLM - Rainbow Technologies, Inc. - C:\Programme\Rainbow Technologies\SentinelLM 7.2.0.2 Server\English\lservnt.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Plastics Insight 5.0 Job Manager (synjm50) - Unknown owner - C:\Programme\Moldflow\Plastics Insight 5.0\bin\mpijm.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Okay ich hab ja auch schon hier gelesen...und vermute die erste Antwort wird sein, überprüf mal die directx.exe mit virustotal...hab ich gemacht..

log von virustotal:

Complete scanning result of "directx.exe", received in VirusTotal at 03.21.2007, 18:02:37 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.22.0 03.21.2007 no virus found
AntiVir 7.3.1.44 03.21.2007 TR/KillAV.de
Authentium 4.93.8 03.20.2007 no virus found
Avast 4.7.936.0 03.21.2007 no virus found
AVG 7.5.0.447 03.21.2007 Agent.2.E
BitDefender 7.2 03.21.2007 Trojan.Munk.XA
CAT-QuickHeal 9.00 03.21.2007 no virus found
ClamAV devel-20070312 03.21.2007 no virus found
DrWeb 4.33 03.21.2007 no virus found
eSafe 7.0.14.0 03.21.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3497 03.21.2007 no virus found
Ewido 4.0 03.21.2007 no virus found
FileAdvisor 1 03.21.2007 no virus found
Fortinet 2.85.0.0 03.21.2007 suspicious
F-Prot 4.3.1.45 03.20.2007 no virus found
F-Secure 6.70.13030.0 03.21.2007 no virus found
Ikarus T3.1.1.3 03.21.2007 no virus found
Kaspersky 4.0.2.24 03.21.2007 no virus found
McAfee 4988 03.20.2007 no virus found
Microsoft 1.2306 03.21.2007 no virus found
NOD32v2 2132 03.21.2007 probably a variant of Win32/Agent.NFM
Norman 5.80.02 03.21.2007 no virus found
Panda 9.0.0.4 03.21.2007 Bck/DService.gen
Prevx1 V2 03.21.2007 no virus found
Sophos 4.15.0 03.13.2007 Mal/Behav-092
Sunbelt 2.2.907.0 03.16.2007 no virus found
Symantec 10 03.21.2007 Trojan.Monicker
TheHacker 6.1.6.078 03.20.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.21.2007 suspected of Trojan-Proxy.Horst.195 (paranoid heuristics)
VirusBuster 4.3.7:9 03.21.2007 Adware.DService.Gen
Webwasher-Gateway 6.0.1 03.21.2007 Trojan.KillAV.de

Aditional Information
File size: 64000 bytes
MD5: 82b306b7da0daa57f17c5d59a2ae4c38
SHA1: 9c5d6484688eafe3ac84edc739f18995fe6a15d4
packers: UPX
packers: UPX
packers: UPX

So nun könnte ich schon ein paar Tips von euch Profis vertragen, da ich im Moment nicht weiter weiß.

Danke

hmm

scheint wohl ein neuer Virus/Trojan zu sein, der bisher nur von manchen Virenscanner über die Heuristik erkannt wird.

Ich würde die Datei auf jeden Fall mal unter Quarantäne stellen und eventuell zum prüfen einschicken.

dann abwarten was rauskommt und je nachdem genügt eine Säuberung durch deinen Virenscanner oder eben format C: wenn sich eine Backdoor funktionalität rausstellt.

Hallo,

ich hab mal escan im abgesicherten Modus gemacht, kann mit dem Log aber nichts anfangen.

Danach hab ich noch mal Hijack gemacht...

hier der log

Logfile of HijackThis v1.99.1
Scan saved at 07:04:53, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Moldflow\Product Security\mfpsd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Rainbow Technologies\SentinelLM 7.2.0.2 Server\English\lservnt.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Moldflow\Plastics Insight 5.0\bin\mpijm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis_199\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS3\Services\Tcpip\..\{084E1BAD-3794-476B-A72C-68AB0C5A6116}: NameServer = 217.237.149.205 217.237.151.115
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: DirectX Service (DirectJezx) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: Moldflow Product Security (MFPS Daemon) - Unknown owner - C:\Programme\Moldflow\Product Security\mfpsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SentinelLM - Rainbow Technologies, Inc. - C:\Programme\Rainbow Technologies\SentinelLM 7.2.0.2 Server\English\lservnt.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Plastics Insight 5.0 Job Manager (synjm50) - Unknown owner - C:\Programme\Moldflow\Plastics Insight 5.0\bin\mpijm.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

scheinbar ist die datei weg...

Grüße Andi

Hallo schicke die Datei unbedingt an Kaspersky und warte, was zurück kommt.

Zippe die Datei und belege sie mit dem Passwort " infected " dann an:

support@kaspersky.de senden

Betreff: New virus

Text: Password: infected

mfg

Undoreal

Hallo,

nachdem ich escan gemacht habe, ist diese datei ja nicht mehr da...oder kann ich die wiederholen???

Gruß PA