Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   W32/Virutas.Z und anderes..?! (https://www.trojaner-board.de/52574-w32-virutas-z-anderes.html)

joha 17.05.2008 16:24
W32/Virutas.Z und anderes..?!
 
hallo

ich bin grad etwas am verzweifeln
mein computer hat gestern begonnen merkwürdige sachen zu machen..
mozilla macht sich regelmäßig von selbst auf..
fehlermeldungen wegen programmen wie 0x000007b tauchen auf, etc.

ich habe daraufhin panda installiert
u wollte windows xp neu aufsetzen
dabei sind fehlermeldungen aufgetaucht wegen fehlenden drivern
jetzt fehlen natürlich einige driver (Realtek, etc.)
ich habe zwar die original-driver-cd für meinen laptop
es ist allerdings nicht möglich diese zu installieren
während der installation bekomme ich immer wieder fehlermeldungen
das auffällige an dem ganzen ist, dass panda immer gleichzeitig mit den installations-fehlermeldungen meldet einen virus (W32/Virutas.Z) entdeckt und desinfiziert hat
ich habe nachdem ich das in dem board gefunden hab jetzt noch einen hijackthis-scan durchgeführt..
hier der inhalt des logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:33, on 17.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\o2flash.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\ApvxdWin.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\mrofinu1001186.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Vcsron\Vcsron.exe
C:\Programme\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\downloads\HiJackThis.exe
C:\Programme\Panda Security\Panda Internet Security 2008\avciman.exe
C:\Programme\Panda Security\Panda Internet Security 2008\psimreal.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Programme\Spcron\Spc.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E6FD967002BA754E2C28323133A9D26033AAC
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [JavaCore] C:\Programme\\JavaCore\\JavaCore.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Vcsron] C:\Programme\Vcsron\Vcsron.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Programme\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe

--
End of file - 7341 bytes


mit der bitte um hilfe,
joha

Sunny 17.05.2008 16:27
Hallo joha und

http://www.mysmilie.de/generator/ablage/156/257.png




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:
C:\WINDOWS\mrofinu1001186.exe
C:\Programme\Vcsron\Vcsron.exe
C:Programme\JavaCore\JavaCore.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

joha 17.05.2008 17:13
hier die gewünschte VirusTotal-Auswertung...
mein javacore ordner scheint leer zu sein (auch wenn ich nach versteckten suche..)..kann ich nicht testen lassen..

Datei mrofinu1001186.exe empfangen 2008.05.17 17:50:09 (CET)
Status: Beendet
Ergebnis: 20/32 (62.50%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.17 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.05.17 -
Avast 4.8.1195.0 2008.05.17 Win32:Homles
AVG 7.5.0.516 2008.05.16 Downloader.Generic7.NFN
BitDefender 7.2 2008.05.17 Trojan.Downloader.Matcash.J
CAT-QuickHeal 9.50 2008.05.17 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.05.17 -
DrWeb 4.44.0.09170 2008.05.17 Trojan.DownLoader.59887
eSafe 7.0.15.0 2008.05.16 suspicious Trojan/Worm
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.17 Trojan-Downloader.Win32.Homles.bl
Fortinet 3.14.0.0 2008.05.17 -
GData 2.0.7306.1023 2008.05.17 Trojan-Downloader.Win32.Homles.bl
Ikarus T3.1.1.26.0 2008.05.17 Virus.Win32.Agent.HKI
Kaspersky 7.0.0.125 2008.05.17 Trojan-Downloader.Win32.Homles.bl
McAfee 5297 2008.05.17 Downloader-BCF
Microsoft 1.3408 2008.05.13 TrojanDownloader:Win32/Matcash.E
NOD32v2 3106 2008.05.16 probably a variant of Win32/TrojanDownloader.Agent.BLS
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.17 Suspicious file
Prevx1 V2 2008.05.17 Malware Dropper
Rising 20.44.52.00 2008.05.17 Trojan.DL.Win32.Mnless.acg
Sophos 4.29.0 2008.05.17 Mal/Behav-191
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.17 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.17 Trojan.Matcash.Gen.2
Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 68608 bytes
MD5...: 771ac68f8d89b511ad23c73b99333b57
SHA1..: 8ecdb20c35992429f07a4d2defb17958c87b87ed
SHA256: b39d183c6a4f96f0965e56a0be079b5a42d1a352e2b4ad91b30f41ff98d12e4a
SHA512: 02485c96afc2b4aaf60ebc3033ed0370f440e636e59d8a67c227871bf38cc1b3
2d967055f0a09b25c199f07cc3670709ee5a17ada5ce18e5a31f482462dc9658
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43e67d
timedatestamp.....: 0x482c75a4 (Thu May 15 17:40:52 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UTIw 0x1000 0x15000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UTIw 0x16000 0x9000 0x8800 7.89 20905e5646591bd3265ff28e0ad6daf1
.rsrc 0x1f000 0xf000 0x8000 0.29 1e5472c137cdbb32613dede01fcbb499

( 10 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MFC42.DLL: -
> MSVCIRT.dll: _fail@ios@@QBEHXZ
> MSVCP60.dll: __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ
> MSVCRT.dll: atol
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: SHFileOperationA
> USER32.dll: CopyRect

( 0 exports )
Prevx info: 88540029.EXE - Prevx
packers (F-Prot): UPX
packers (Kaspersky): PE_Patch.Upolyx, PE_Patch.UPX, UPX
packers (Avast): UPX


Datei vcsron.exe empfangen 2008.05.17 17:55:23 (CET)
Status: Beendet
Ergebnis: 10/32 (31.25%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.17 TR/Proxy.Gen
Authentium 5.1.0.4 2008.05.17 -
Avast 4.8.1195.0 2008.05.17 Win32:Agent-YBM
AVG 7.5.0.516 2008.05.16 Clicker.NGQ
BitDefender 7.2 2008.05.17 -
CAT-QuickHeal 9.50 2008.05.17 AdWare.Rond.f (Not a Virus)
ClamAV 0.92.1 2008.05.17 -
DrWeb 4.44.0.09170 2008.05.17 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.17 -
Fortinet 3.14.0.0 2008.05.17 -
GData 2.0.7306.1023 2008.05.17 Win32:Agent-YBM
Ikarus T3.1.1.26.0 2008.05.17 -
Kaspersky 7.0.0.125 2008.05.17 not-a-virus:AdWare.Win32.Rond.f
McAfee 5297 2008.05.17 Generic AdClicker.v
Microsoft 1.3408 2008.05.13 TrojanClicker:Win32/Agent.MA
NOD32v2 3106 2008.05.16 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.17 -
Prevx1 V2 2008.05.17 -
Rising 20.44.52.00 2008.05.17 -
Sophos 4.29.0 2008.05.17 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.17 Trojan.Adclicker
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.17 -
Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Proxy.Gen
weitere Informationen
File size: 720896 bytes
MD5...: 03487d9569bffc27b97c975fbe922984
SHA1..: 5d83cd61a18745c05edf1df90a47d4cd779fcb84
SHA256: db9921f343a466dd09db718068b43db0df51862d6ce13a5a2f35af90025bad3f
SHA512: e1dcd74d056237545c125b6405ef23d199b8a4ada16a87ac8135c995c74c2ca8
9474d70c406e533fea8231a92ecd0ee27af6bb3ddba9d9d6a4b2d95b8f990d27
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403e52
timedatestamp.....: 0x4827e8d7 (Mon May 12 06:51:03 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x82d0 0x9000 6.28 3b4bb20c1ce035f5371ffff99af980ec
.rdata 0xa000 0x22be 0x3000 4.05 1024bf18bcb880893920278d5311f9e3
.data 0xd000 0xa9674 0xa3000 0.46 b95a6a13fcd4b74c3bfcd1595a663eab

( 9 imports )
> DNSAPI.dll: DnsQuery_A, DnsRecordListFree
> WININET.dll: InternetCheckConnectionA
> KERNEL32.dll: CloseHandle, Process32Next, Process32First, CreateToolhelp32Snapshot, lstrcpynA, Sleep, lstrcatA, lstrcpyA, RemoveDirectoryA, MoveFileExA, FlushViewOfFile, SetCurrentDirectoryA, CreateDirectoryA, GetLastError, MultiByteToWideChar, GetTickCount, lstrlenA, GetModuleFileNameA, GetModuleHandleA, MapViewOfFile, CreateFileMappingA, CreateFileA, WideCharToMultiByte, LocalFree, GlobalFree, GlobalAlloc, HeapSize, GetSystemDefaultLCID, GetVolumeInformationA, GetWindowsDirectoryA, lstrcmpA, GetSystemInfo, VirtualProtect, HeapReAlloc, HeapFree, GetProcessHeap, HeapAlloc, lstrlenW, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, LCMapStringW, LCMapStringA, VirtualAlloc, LoadLibraryA, GetStringTypeW, GetStringTypeA, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, GetCurrentProcessId, QueryPerformanceCounter, VirtualQuery, RaiseException, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, RtlUnwind, ExitProcess, GetProcAddress, TerminateProcess, GetCurrentProcess, GetSystemTimeAsFileTime, GetStartupInfoA, GetCommandLineA, SetUnhandledExceptionFilter, TlsAlloc, SetLastError, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate
> USER32.dll: GetForegroundWindow, SetForegroundWindow, wsprintfA, MessageBoxA, CharUpperA
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegSetValueExA, RegDeleteKeyA, RegCreateKeyA, RegDeleteValueA, RegCloseKey
> SHELL32.dll: SHGetSpecialFolderPathA
> ole32.dll: OleInitialize, CoCreateInstance, OleUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -
> SHLWAPI.dll: PathFileExistsA

( 0 exports )


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27