Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mich hat's erwischt... (https://www.trojaner-board.de/62036-mich-hats-erwischt.html)

Ganymed 14.10.2008 09:21
Mich hat's erwischt...
 
Hi Leute!

Nachdem ich eine bitterböse Mail von meinem Provider bekam, habe ich mein System mal auf Verdächtiges hin überprüft. Offensichtlich verschickt das Mistding massenhaft Spam's (wahrscheinlich über: "server109.labinaservers.com"). Auf die Registry kann ich auch nicht mehr zugreifen, diese sei "vom Administrator gesperrt" (oder so ähnlich).

Weiß jemand welche Malware dahinter steckt? Wie kann ich auf die Registry wieder zugreifen?

Danke für Eure Bemühungen!!!



Hier mal die Auswertung:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:00:48, on 14.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
c:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HxxP://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = HxxPs://www.iposo.de/mainmenu/index.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HxxP://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - c:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\Programme\FreshDevices\FreshDownload\fdiebar.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloantoSoftwareManager] "C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe" /s
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789 012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Programme\wupdtmngr.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe
O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys1.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "c:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global User Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global User Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global User Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FreshDownload - {FADB8595-102D-471E-B522-E307DD1D01EE} - C:\Programme\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - HxxP://www.midasplayer.com/midasa.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:C:\stassp.chm::/on-line.exe
O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - HxxP://www.parallelgraphics.com/bin/cortvrml10.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!HxxP://cashsearch.biz/sher/x.chm::/load.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - HxxP://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - HxxP://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - HxxP://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - HxxP://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - HxxP://www.king.com/ctl/kingcomie.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - HxxP://207.188.7.150/190e8ce7e6686ffac606/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - HxxP://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096458218890
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - HxxP://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {713AE1D4-897C-11D2-B2A0-00C04F94B4D5} (WUCorpSuppControl Class) - HxxP://corporate.windowsupdate.microsoft.com/de/wucorpct.CAB
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - HxxP://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - HxxPs://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - HxxP://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - HxxP://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - HxxPs://eu.ntrsupport.com/nv/inquiero/mod/setup/ntractivex118_28.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - HxxP://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - HxxP://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - HxxP://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7F4FB16-3533-4EC0-8485-135465A675C3}: NameServer = 192.168.120.252,192.168.120.253
O18 - Filter: text/plain - {42F75891-14C2-4ABF-9905-BF88FE4E8F35} - C:\WINDOWS\System32\mof.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - c:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: LiveUpdate - Symantec Corporation - c:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 11606 bytes

Chris4You 14.10.2008 10:05
Hallo,
Du hast verschiedene Backdoors auf Deinem Rechner,
eigentlich kommt nur Neuaufsetzen in Frage!

Notlösung:
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\keyboard1.exe
C:\mousepad1.exe
C:\gimmysmileys1.exe
C:\Programme\wupdtmngr.exe
C:\WINDOWS\system32\0106.exe
C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe
C:\WINDOWS\System32\mof.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|keyboard
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mousepad
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gimmysmileys
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|I downloaded pirated Software from P2P
 
Files to delete:
C:\keyboard1.exe
C:\mousepad1.exe
C:\gimmysmileys1.exe
C:\Programme\wupdtmngr.exe
C:\WINDOWS\system32\0106.exe

Folders to delete:
C:\DOKUME~1\GANYME~1\LOKALE~1\Temp

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:C:\stassp.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!HxxP://cashsearch.biz/sher/x.chm::/load.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - HxxP://launch.gamespyarcade.com/software/launch/alaunch.cab
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe
O4 - HKLM\..\Run: [01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 12345678] C:\Programme\wupdtmngr.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HxxP://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HxxP://searchbar.findthewebsiteyouneed.com
Danach bitte einen Fullscan mit MAM und Combofix, poste alle Logs!
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Chris

Ganymed 14.10.2008 20:15
Hallo Chris!

Danke, dass Du Dir die Zeit genommen hast auf meine Fragen einzugehen.

Die "Ordneroptionen" waren verschwunden, ließen sich aber mit
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions
und einem Neustart wieder reaktivieren
Auf die Regedit konnte ich mit
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /t REG_DWORD /d 00000000 /f
wieder zugreifen.
(Ich erwähne es mal für den Fall, dass ein anderer die selben Probleme hat)


Nun zu Deinem Vorschlag. Ich bin strickt nach Deiner Anleitung vorgegangen:

Dateien Online überprüfen lassen:
C:\keyboard1.exe (Datei war nicht vorhanden)
C:\mousepad1.exe (Datei war nicht vorhanden)
C:\gimmysmileys1.exe (Datei war nicht vorhanden)
C:\Programme\wupdtmngr.exe (Datei war nicht vorhanden)
C:\WINDOWS\system32\0106.exe (Datei war nicht vorhanden)
C:\WINDOWS\System32\mof.dll (Datei war nicht vorhanden)

C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.10.15.0        2008.10.14        -
AntiVir        7.8.1.34        2008.10.14        -
Authentium        5.1.0.4        2008.10.14        -
Avast        4.8.1248.0        2008.10.14        -
AVG        8.0.0.161        2008.10.14        -
BitDefender        7.2        2008.10.14        -
CAT-QuickHeal        9.50        2008.10.14        -
ClamAV        0.93.1        2008.10.14        -
DrWeb        4.44.0.09170        2008.10.14        -
eSafe        7.0.17.0        2008.10.12        -
eTrust-Vet        31.6.6148        2008.10.14        -
Ewido        4.0        2008.10.14        -
F-Prot        4.4.4.56        2008.10.14        -
F-Secure        8.0.14332.0        2008.10.14        -
Fortinet        3.113.0.0        2008.10.14        -
GData        19        2008.10.14        -
Ikarus        T3.1.1.34.0        2008.10.14        -
K7AntiVirus        7.10.493        2008.10.14        -
Kaspersky        7.0.0.125        2008.10.14        -
McAfee        5405        2008.10.14        -
Microsoft        1.4005        2008.10.14        -
NOD32        3521        2008.10.14        -
Norman        5.80.02        2008.10.14        -
Panda        9.0.0.4        2008.10.14        -
PCTools        4.4.2.0        2008.10.14        -
Prevx1        V2        2008.10.14        -
Rising        20.66.12.00        2008.10.14        -
SecureWeb-Gateway        6.7.6        2008.10.14        -
Sophos        4.34.0        2008.10.14        -
Sunbelt        3.1.1722.1        2008.10.14        -
Symantec        10        2008.10.14        -
TheHacker        6.3.1.0.110        2008.10.14        -
TrendMicro        8.700.0.1004        2008.10.14        -
VBA32        3.12.8.6        2008.10.14        -
ViRobot        2008.10.14.1419        2008.10.14        -
VirusBuster        4.5.11.0        2008.10.14        -
weitere Informationen
File size: 320616 bytes
MD5...: a4072d1e2d9c926a69ca6c38ce91852e
SHA1..: 8cfa9134e82cb1b977c520b64aee9c075e0bbb6b
SHA256: db45096e2c1c25cad482044208a98aabe68eefdadfd5477ff847fdd9395ed948
SHA512: e7f5a6a0d86a244cdfae8ed257d71b351166fd7ff1569e83d1a5c4c16a5dceff
7245e3d325c6e485bdf31b32ae024c1e51dd35ace4c5453fb42ab1f80dbb7eae
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (59.5%)
Windows Screen Saver (20.6%)
Win32 Executable Generic (13.4%)
Generic Win/DOS Executable (3.1%)
DOS Executable Generic (3.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x424146
timedatestamp.....: 0x4078282d (Sat Apr 10 17:00:29 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2bc85 0x2c000 6.53 a2ff0fb37c1423d78992a56b03a70510
.rdata 0x2d000 0x7326 0x8000 4.70 b9f083060b85c4bca99ea1f0e0be86e4
.data 0x35000 0x2e94 0x1000 3.39 033f158bc445317ea5f720b1359955fc
.rsrc 0x38000 0x165a8 0x17000 3.51 1cdc3d7b21226c496217e4ee98258490

( 10 imports )
> COMCTL32.dll: -, ImageList_Create, ImageList_ReplaceIcon, ImageList_SetOverlayImage, ImageList_Destroy, -
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> KERNEL32.dll: CreateDirectoryA, DeleteFileA, GetTempFileNameA, GetTempPathA, MoveFileA, WriteFile, GetSystemTimeAsFileTime, CopyFileA, lstrcpynA, GetTimeFormatA, GetDateFormatA, FileTimeToSystemTime, FileTimeToLocalFileTime, CreateEventA, CreateMutexA, WaitForSingleObject, ReleaseMutex, GetTickCount, WritePrivateProfileStringA, FindClose, FindNextFileA, FindFirstFileA, LockResource, LoadResource, FindResourceA, ReleaseSemaphore, GetExitCodeThread, CreateSemaphoreA, SystemTimeToFileTime, lstrcpyA, GetSystemInfo, VirtualProtect, InitializeCriticalSection, SetFilePointer, RemoveDirectoryA, GetStringTypeW, GetStringTypeA, HeapReAlloc, VirtualAlloc, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, VirtualQuery, InterlockedExchange, VirtualFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStdHandle, UnhandledExceptionFilter, TerminateProcess, LCMapStringW, LCMapStringA, SetUnhandledExceptionFilter, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, HeapAlloc, HeapFree, TlsGetValue, TlsSetValue, TlsFree, TlsAlloc, GetCurrentProcessId, QueryPerformanceCounter, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, CreateThread, GetCurrentThreadId, ExitThread, RaiseException, RtlUnwind, ExitProcess, GetCurrentProcess, CompareFileTime, CompareStringA, GetACP, MultiByteToWideChar, GetUserDefaultLCID, SetLastError, CreateFileA, GetFileSize, ReadFile, GetProcAddress, ExpandEnvironmentStringsA, LoadLibraryA, GetModuleFileNameA, FreeLibrary, GetFileAttributesA, GetLocaleInfoA, GetNumberFormatA, GetCurrentDirectoryA, SetCurrentDirectoryA, CloseHandle, FormatMessageA, GetLastError, GetSystemDirectoryA, WideCharToMultiByte, Sleep, GetVersionExA, LocalAlloc, LocalFree, GlobalAlloc, GlobalSize, GlobalFree, SetStdHandle, HeapSize, FlushFileBuffers
> USER32.dll: GetMessageA, SetRectEmpty, MapWindowPoints, EnumChildWindows, IsWindowEnabled, GetFocus, SendDlgItemMessageA, ReleaseCapture, ClipCursor, SetCapture, InflateRect, EndDialog, DestroyIcon, SendMessageTimeoutA, ChildWindowFromPoint, BringWindowToTop, UnregisterClassA, ReleaseDC, LoadCursorA, RegisterClassA, DefWindowProcA, SetTimer, KillTimer, IsWindow, IsDialogMessageA, TranslateMessage, CreateDialogParamA, PostQuitMessage, IsWindowVisible, IsIconic, EnumWindows, EndPaint, BeginPaint, GetUpdateRect, FrameRect, GetWindowRgn, GetForegroundWindow, FillRect, SendMessageA, DestroyMenu, InsertMenuItemA, GetMenuItemCount, LoadStringA, CreatePopupMenu, GetWindowThreadProcessId, SetWindowRgn, GetClassInfoA, GetDC, DestroyWindow, ClientToScreen, GetMenuItemInfoA, CopyIcon, InvalidateRect, GetCursorPos, PtInRect, SetCursor, GetSysColorBrush, GetClassNameA, CreateWindowExA, ShowWindow, GetUpdateRgn, InvalidateRgn, MapDialogRect, GetSysColor, SetFocus, GetClientRect, GetParent, wsprintfA, MessageBoxIndirectA, MessageBoxA, GetDesktopWindow, MsgWaitForMultipleObjects, DispatchMessageA, PeekMessageA, PostThreadMessageA, IsDlgButtonChecked, EnableWindow, CheckDlgButton, SystemParametersInfoA, SetDlgItemTextA, PostMessageA, GetDlgItemTextA, LoadImageA, GetSystemMetrics, DialogBoxParamA, GetWindowLongA, SetWindowLongA, GetDlgItem, SetWindowTextA, SetWindowPos, SetForegroundWindow, ScreenToClient, ChildWindowFromPointEx, GetDlgCtrlID, GetWindowRect, TrackPopupMenuEx, FindWindowA
> GDI32.dll: CreateRoundRectRgn, CreatePolygonRgn, CombineRgn, SetMapMode, SetTextAlign, SetBkMode, SetTextColor, TextOutW, GetStockObject, FrameRgn, SelectObject, CreateRectRgn, OffsetRgn, DeleteObject, CreateFontIndirectA, CreateCompatibleDC, EnumFontFamiliesExA, GetTextExtentPoint32W, DeleteDC
> comdlg32.dll: GetSaveFileNameA
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA, RegEnumValueA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegQueryInfoKeyA, RegQueryValueExA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc, ShellExecuteA, SHGetFileInfoA, ShellExecuteExA, FindExecutableA
> ole32.dll: CoCreateInstance, CoInitialize, OleInitialize, OleUninitialize, CoUninitialize
> OLEAUT32.dll: -, -, -, -

( 0 exports )
Anleitung Avenger (by swandog46):
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\keyboard1.exe" not found!
Deletion of file "C:\keyboard1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\mousepad1.exe" not found!
Deletion of file "C:\mousepad1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\gimmysmileys1.exe" not found!
Deletion of file "C:\gimmysmileys1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Programme\wupdtmngr.exe" not found!
Deletion of file "C:\Programme\wupdtmngr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\0106.exe" not found!
Deletion of file "C:\WINDOWS\system32\0106.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "C:\DOKUME~1\GANYME~1\LOKALE~1\Temp" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|keyboard" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mousepad" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gimmysmileys" deleted successfully.

Error:  could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|I downloaded pirated Software from P2P"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|I downloaded pirated Software from P2P" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Hijackthis, fixen:
AUSGEFÜHRT

Malwarebytes Antimalware (MAM):
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1268
Windows 5.1.2600 Service Pack 2

14.10.2008 19:52:17
mbam-log-2008-10-14 (19-52-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 177218
Laufzeit: 2 hour(s), 3 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fci (Rootkit.ADS) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fci (Rootkit.ADS) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon (Trojan.NetMon) -> No action taken.

Infizierte Dateien:
C:\Program Files\Absolute Poker\browser.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ide21201.vxd (Adware.Winad) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt (Trojan.NetMon) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt (Trojan.NetMon) -> No action taken.
C:\WINDOWS\Hosts (Trojan.Agent) -> No action taken.
C:\d1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\d.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\svchost.exe:ext.exe (Rootkit.ADS) -> No action taken.
Combofix
Code:
ComboFix 08-10-14.01 - ganyes 2008-10-14 20:33:10.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\ganyes\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\.log
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\exefld
C:\WINDOWS\gimmygames.dat
C:\WINDOWS\keyboard11.dat
C:\WINDOWS\pi.exe
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\mdm.exe

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FCI


(((((((((((((((((((((((  Dateien erstellt von 2008-09-14 bis 2008-10-14  ))))))))))))))))))))))))))))))
.

2008-10-14 20:46 . 2008-10-14 20:46        <DIR>        d--------        C:\Temp\WPDNSE
2008-10-14 20:46 . 2008-10-14 20:46        53,248        --a------        C:\Temp\catchme.dll
2008-10-14 18:20 . 2008-10-14 19:09        <DIR>        d--------        C:\Temp\plugtmp-11
2008-10-14 17:45 . 2008-10-14 17:45        <DIR>        d--------        C:\Temp\is-UK3DP.tmp
2008-10-14 17:45 . 2008-10-14 20:46        <DIR>        d--------        C:\Temp\is-KGR36.tmp
2008-10-14 17:45 . 2008-10-14 17:47        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-10-14 17:45 . 2008-10-14 17:45        <DIR>        d--------        C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\Malwarebytes
2008-10-14 17:45 . 2008-10-14 17:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 17:45 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 17:45 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:00 . 2008-10-14 10:00        <DIR>        d--------        C:\Programme\Trend Micro
2008-10-07 17:54 . 2008-10-07 19:18        <DIR>        d--------        C:\Temp\plugtmp-10
2008-09-24 16:59 . 2008-10-14 20:46        <DIR>        d--------        C:\Temp\~DPEA15B3AB
2008-09-23 19:23 . 2008-09-23 19:25        <DIR>        d--------        C:\Programme\PDF Reader 2
2008-09-23 19:04 . 2008-09-23 19:04        0        --a------        C:\414018848
2008-09-23 18:51 . 2008-09-30 18:50        <DIR>        d--------        C:\Temp\PixelPlanet
2008-09-23 18:51 . 2008-09-23 18:51        <DIR>        d--------        C:\Programme\PdfGrabber 4.0
2008-09-23 18:51 . 2008-09-23 18:51        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\XPressUpdate
2008-09-23 18:51 . 2008-09-23 18:51        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\BCL Technologies
2008-09-23 18:51 . 2008-09-23 18:51        <DIR>        d--------        C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\PixelPlanet
2008-09-23 18:51 . 2008-09-23 18:51        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
2008-09-23 18:04 . 2008-09-23 19:13        <DIR>        d--------        C:\Programme\NOS
2008-09-23 18:04 . 2008-09-23 19:13        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-09-19 18:56 . 2008-09-19 18:56        <DIR>        d--------        C:\Programme\ElcomSoft

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 18:42        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-13 16:15        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-28 09:47        ---------        d-----w        C:\Programme\Free Download Manager
2008-09-24 14:50        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-09-23 17:23        73,216        ----a-w        C:\WINDOWS\cadkasdeinst01.exe
2008-05-27 08:32        49,024        ----a-w        C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-01-22 03:38        185,649        --sha-r        C:\Programme\patcher.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Start WingMan Profiler"="C:\Programme\Logitech\Profiler\lwemon.exe" [2005-04-18 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelliType"="C:\Programme\Microsoft Hardware\Keyboard\type32.exe" [2001-06-12 69632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 4493312]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-03-02 98304]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-08-02 86016]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"CloantoSoftwareManager"="C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe" [2004-04-10 320616]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2005-12-04 461584]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"ccApp"="c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 51048]
"osCheck"="c:\Programme\Norton Internet Security\osCheck.exe" [2007-08-25 714608]
"nwiz"="nwiz.exe" [2004-08-02 C:\WINDOWS\system32\nwiz.exe]

C:\WINDOWS\system32\WinSvc32\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2002-02-27 110592]
LUMIX Simple Viewer.lnk - C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2005-11-16 61440]
Office-Bibliothek-Direktsuche.lnk - C:\Programme\Office-Bibliothek\PCLib.exe [2005-03-25 323584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\Gany1.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-08-28 21:37 46592 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\eDonkey2000\\eMule\\emule.exe"=
"C:\\Programme\\The All-Seeing Eye\\eye.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Games\\Renegade\\Game.exe"=
"C:\\Programme\\Adobe\\Adobe GoLive CS2\\GoLive.exe"=
"C:\\Programme\\SmartFTP\\SmartFTP.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Games\\Renegade\\Game2.exe"=

R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-06-01 120320]
R1 SSHDRV77;SSHDRV77;C:\WINDOWS\System32\drivers\SSHDRV77.sys [2004-06-01 79360]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2005-08-11 78848]
R2 cvintdrv;cvintdrv;C:\WINDOWS\system32\drivers\cvintdrv.sys [2000-09-13 7140]
R2 LiveUpdate Notice;LiveUpdate Notice;c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-01-31 149864]
R2 ppsio;PrmxPPDev;C:\WINDOWS\system32\drivers\ppsio.sys [1998-02-26 22688]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2005-10-18 2368]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-08-31 243064]
S3 Alfiaode;Alfiaode;C:\WINDOWS\system32\drivers\mf.sys [2004-08-04 63744]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888]
S3 IrCOMM2k;Virtueller Infrarot-Kommunikationsanschluß;C:\WINDOWS\system32\DRIVERS\ircomm2k.sys [ ]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2002-01-11 259072]
S3 OVT511;Dual Mode USB Camera ;C:\WINDOWS\system32\Drivers\omcamvid.sys [2001-09-19 167816]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\PCD65X2.sys [ ]
S3 SipIMNDI;T-Online Dialerschutz VoIP Service;C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys [ ]
S3 TSCOMM;CommStudio Virtual Adapter by TamoSoft;C:\WINDOWS\system32\DRIVERS\tscomm.sys [ ]
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys [2001-09-19 9728]
S3 WmAdiHid;Logitech WingMan Digital Devices Driver;C:\WINDOWS\system32\drivers\WmAdiHid.sys [2002-06-20 20320]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autorun.exe
\Shell\readit\command - notepad readme.doc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\isre1.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\S3\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\Autorun.exe

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners

2007-12-15 C:\WINDOWS\Tasks\Norton Internet Security Online - Systemprüfung ausführen - ganyes.job
- c:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 03:19]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-seticlient - C:\Programme\SETI@home\SETI@home.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\Mozilla\Firefox\Profiles\6gynlrwr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/search?num=100&hl=de&as_qdr=all&q=&meta=lr%3Dlang_de
FF -: plugin - C:\Programme\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJPI141_02.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 20:46:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\TXTUSER.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-14 20:58:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-14 18:58:29

Vor Suchlauf: 6.294.663.168 Bytes frei
Nach Suchlauf: 6,247,079,936 Bytes frei

185
Augenscheinlich sieht mein System im Moment recht gut aus. Ich denke, dass das Ding beseitigt wurde. Netstat zeigt jedenfalls keine verdächtigen Aktionen mehr an. Was meinst Du???

Chris4You 15.10.2008 15:58
Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\Programme\patcher.exe <- Achtung versteckt&system!
C:\WINDOWS\system32\Gany1.exe
C:\WINDOWS\system32\Drivers\COH_Mon.sys <- sollte OK sein
C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\PCD65X2.sys <- sollte Ok sein
E:\isre1.exe <- ? USB-Stick/Festplatte?
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\414018848

Folders to delete:
C:\Temp\plugtmp-10
C:\Temp\plugtmp-11
C:\Temp\is-UK3DP.tmp
C:\Temp\is-KGR36.tmp
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Scanne noch mit Prevx und poste ggf. das Log (ausser Cookies):
http://www.prevx.com/freescan.asp

Deine Java-Plugins sind nun auch nicht die ausgeburt an Aktualität, mal updaten...

Chris

Ganymed 16.10.2008 08:22
Hi Chris!

So - habe ich alles gemacht!


C:\Programme\patcher.exe
Code:
AhnLab-V3        2008.10.16.0        2008.10.15        -
AntiVir        7.9.0.4        2008.10.15        -
Authentium        5.1.0.4        2008.10.15        -
Avast        4.8.1248.0        2008.10.15        -
AVG        8.0.0.161        2008.10.15        -
BitDefender        7.2        2008.10.15        -
CAT-QuickHeal        9.50        2008.10.14        -
ClamAV        0.93.1        2008.10.15        -
DrWeb        4.44.0.09170        2008.10.15        -
eSafe        7.0.17.0        2008.10.15        Suspicious File
eTrust-Vet        31.6.6149        2008.10.15        -
Ewido        4.0        2008.10.15        -
F-Prot        4.4.4.56        2008.10.14        -
F-Secure        8.0.14332.0        2008.10.15        -
Fortinet        3.113.0.0        2008.10.15        -
GData        19        2008.10.15        -
Ikarus        T3.1.1.34.0        2008.10.15        -
K7AntiVirus        7.10.496        2008.10.15        -
Kaspersky        7.0.0.125        2008.10.15        -
McAfee        5405        2008.10.14        -
Microsoft        1.4005        2008.10.15        -
NOD32        3524        2008.10.15        -
Norman        5.80.02        2008.10.15        -
Panda        9.0.0.4        2008.10.15        -
PCTools        4.4.2.0        2008.10.15        -
Prevx1        V2        2008.10.15        -
Rising        20.66.22.00        2008.10.15        -
SecureWeb-Gateway        6.7.6        2008.10.15        -
Sophos        4.34.0        2008.10.15        -
Sunbelt        3.1.1725.1        2008.10.15        -
Symantec        10        2008.10.15        -
TheHacker        6.3.1.0.112        2008.10.15        -
TrendMicro        8.700.0.1004        2008.10.15        -
VBA32        3.12.8.6        2008.10.14        -
ViRobot        2008.10.15.1421        2008.10.15        -
VirusBuster        4.5.11.0        2008.10.15        -
weitere Informationen
File size: 185649 bytes
MD5...: 013e5855e4bfce110c7913aa16238424
SHA1..: 9c9e56c17ee7467da85e18b0ffc3f96dbb1f52c1
SHA256: 7753145cacc1e3fa81de199f4abcc66679a1cbda20b2efcc6ce6d46f7d218209
SHA512: 2fda8978582baf2ad2eb795023e9d11ba31bb7b902cf4ca26ec5e54430f25900
7e20084b1fa9d8cbcfabca33061c47edd739f8c1292caa401a6f3cc1d8d62044
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x463f10
timedatestamp.....: 0x438f1a82 (Thu Dec 01 15:45:06 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x38000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x39000 0x2c000 0x2b200 7.92 ea6883d672a1ffb8d8db7a48ad992850
.rsrc 0x65000 0x2000 0x1e00 4.88 8fdfc6e66bf93aafe936092629a07322

( 12 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: -
> comdlg32.dll: GetOpenFileNameA
> GDI32.dll: BitBlt
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueA
> WINMM.dll: mixerOpen
> WSOCK32.dll: -

( 0 exports )
C:\WINDOWS\system32\Gany1.exe
Den letzten Absatz mußte ich rauskürzen, da der Beitrag nur 25000 Zeichen lang sein darf.
Gany1.exe ist ein von mir modifiziertes Kernel gewesen, aber seit SP1 schon deaktiviert.
Code:
AhnLab-V3        2008.10.16.0        2008.10.15        -
AntiVir        7.9.0.4        2008.10.15        -
Authentium        5.1.0.4        2008.10.15        -
Avast        4.8.1248.0        2008.10.15        -
AVG        8.0.0.161        2008.10.15        -
BitDefender        7.2        2008.10.15        -
CAT-QuickHeal        9.50        2008.10.14        -
ClamAV        0.93.1        2008.10.15        -
DrWeb        4.44.0.09170        2008.10.15        -
eSafe        7.0.17.0        2008.10.15        -
eTrust-Vet        31.6.6149        2008.10.15        -
Ewido        4.0        2008.10.15        -
F-Prot        4.4.4.56        2008.10.14        -
F-Secure        8.0.14332.0        2008.10.15        -
Fortinet        3.113.0.0        2008.10.15        -
GData        19        2008.10.15        -
Ikarus        T3.1.1.34.0        2008.10.15        -
K7AntiVirus        7.10.496        2008.10.15        -
Kaspersky        7.0.0.125        2008.10.15        -
McAfee        5405        2008.10.14        -
Microsoft        1.4005        2008.10.15        -
NOD32        3524        2008.10.15        -
Norman        5.80.02        2008.10.15        -
Panda        9.0.0.4        2008.10.15        -
PCTools        4.4.2.0        2008.10.15        -
Prevx1        V2        2008.10.15        -
Rising        20.66.22.00        2008.10.15        -
SecureWeb-Gateway        6.7.6        2008.10.15        -
Sophos        4.34.0        2008.10.15        -
Sunbelt        3.1.1725.1        2008.10.15        -
Symantec        10        2008.10.15        -
TheHacker        6.3.1.0.112        2008.10.15        -
TrendMicro        8.700.0.1004        2008.10.15        -
VBA32        3.12.8.6        2008.10.14        -
ViRobot        2008.10.15.1421        2008.10.15        -
VirusBuster        4.5.11.0        2008.10.15        -
weitere Informationen
File size: 2017152 bytes
MD5...: e4add5fe565b169ccc38ab5318196095
SHA1..: a41167ab47c7a116591fcd1d5d3c08f1ad807d08
SHA256: f85281189a9a8cbca4784d4b717321f4be5312928a9df5ac2f30be58c17be242
SHA512: bd15b7bc3bd9bc9ca190f1f3adc3cd1dca3a7ebbe0d0fe3c0e9a508e4c30f0c9
da9075b8d997c5e8611cb2ca726c1fab86e1b23d86087c34de2842e5e8715d44
PEiD..: -
TrID..: File type identification

OS/2 Executable (generic) (52.8%)
Win32 Executable Generic (32.0%)
Generic Win/DOS Executable (7.5%)
DOS Executable Generic (7.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x58feac
timedatestamp.....: 0x3c7ac994 (Mon Feb 25 23:32:36 2002)
machinetype.......: 0x14c (I386)

( 21 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x580 0x5ced0 0x5cf00 6.62 515ed515cee96c2e9a75f3f9fe2e8d36
POOLMI 0x5d480 0xfb3 0x1000 6.37 9c266f2110521206b87ec211c2e87f00
MISYSPTE 0x5e480 0x5f6 0x600 6.39 5975120e7bfb53aff1ac36138118646e
POOLCODE 0x5ea80 0x1236 0x1280 6.48 91b510fa41ce05b6a53f39a73170f2ec
.data 0x5fd00 0x128e0 0x12900 0.57 f8c3b8383149d822304f2e654032e1e2
PAGE 0x72600 0xd4146 0xd4180 6.62 752dc49d61c3d395977b34993fdb031a
PAGELK 0x146780 0xd574 0xd580 6.76 f87cd2452c4602b1081b0b82ed8ef4bd
PAGEVRFY 0x153d00 0xdfc2 0xe000 6.73 7151c242243afc43c85520c426673981
PAGEWMI 0x161d00 0x1629 0x1680 6.45 747ab3c58b43c0e0c338285d29a0f1e0
PAGEKD 0x163380 0x3a6d 0x3a80 6.57 cc86a11f39a93d5a093211738bbe800c
PAGESPEC 0x166e00 0xa7e 0xa80 6.47 bb09a2663c5626bbb0a4410ef397357d
PAGEHDLS 0x167880 0x1d1d 0x1d80 6.14 c87391257cf999f32046158596507b3d
.edata 0x169600 0xb173 0xb180 6.03 c63e46da2d7b1bda7350e1ea7ff57b68
PAGEDATA 0x174780 0x1590 0x1600 2.66 6b20070facbaf1a3c884ae89288153df
PAGEKD 0x175d80 0xc021 0xc080 0.00 b4981a9d05aeb49e6aaa0b270f6617fd
PAGECONS 0x181e00 0x18c 0x200 2.23 c5b74e30c198e5aa4c0ff61c36483f28
PAGEVRFC 0x182000 0x341d 0x3480 5.22 56f3b78e28b063e515137db2e0cf9c1b
PAGEVRFD 0x185480 0x648 0x680 2.71 80ee5392012375efd8d7bef1243cc323
INIT 0x185b00 0x27c1a 0x27c80 6.51 b42197d1be34dd170f79acd1c93ba4cb
.rsrc 0x1ad780 0x2fb40 0x2fb80 1.96 9376b2721505c0d9c31b582ad99da4b1
.reloc 0x1dd300 0xf43c 0xf480 6.71 44c9eb6f541a9ed67835a64d8c9eb010

( 3 imports )
> HAL.dll: HalReportResourceUsage, HalAllProcessorsStarted, HalQueryRealTimeClock, HalAllocateAdapterChannel, KeStallExecutionProcessor, HalTranslateBusAddress, KfReleaseSpinLock, KfAcquireSpinLock, HalGetBusDataByOffset, HalSetBusDataByOffset, KeQueryPerformanceCounter, HalReturnToFirmware, READ_PORT_UCHAR, READ_PORT_USHORT, READ_PORT_ULONG, WRITE_PORT_UCHAR, WRITE_PORT_USHORT, WRITE_PORT_ULONG, HalInitializeProcessor, HalCalibratePerformanceCounter, HalSetRealTimeClock, HalHandleNMI, HalBeginSystemInterrupt, HalEndSystemInterrupt, KeRaiseIrqlToSynchLevel, KeAcquireInStackQueuedSpinLockRaiseToSynch, HalInitSystem, HalDisableSystemInterrupt, HalEnableSystemInterrupt, KeRaiseIrql, KeLowerIrql, HalClearSoftwareInterrupt, KeReleaseSpinLock, KeAcquireSpinLock, ExTryToAcquireFastMutex, KeAcquireSpinLockRaiseToSynch, KeFlushWriteBuffer, HalProcessorIdle, HalReadDmaCounter, IoMapTransfer, IoFreeMapRegisters, IoFreeAdapterChannel, IoFlushAdapterBuffers, HalFreeCommonBuffer, HalAllocateCommonBuffer, HalAllocateCrashDumpRegisters, HalGetAdapter, HalSetTimeIncrement, HalGetEnvironmentVariable, HalSetEnvironmentVariable, KfRaiseIrql, HalGetInterruptVector, KeGetCurrentIrql, HalRequestSoftwareInterrupt, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeRaiseIrqlToDpcLevel, HalSystemVectorDispatchEntry, KfLowerIrql, HalStartProfileInterrupt, HalSetProfileInterval, HalStopProfileInterrupt
> BOOTVID.dll: VidInitialize, VidDisplayString, VidSetTextColor, VidSolidColorFill, VidBitBlt, VidBufferToScreenBlt, VidScreenToBufferBlt, VidResetDisplay, VidCleanUp, VidSetScrollRegion
> KDCOM.dll: KdD0Transition, KdD3Transition, KdRestore, KdReceivePacket, KdDebuggerInitialize0, KdSave, KdDebuggerInitialize1, KdSendPacket

( 1458 exports )
C:\WINDOWS\system32\Drivers\COH_Mon.sys
Code:
AhnLab-V3        2008.10.16.0        2008.10.15        -
AntiVir        7.9.0.4        2008.10.15        -
Authentium        5.1.0.4        2008.10.15        -
Avast        4.8.1248.0        2008.10.15        -
AVG        8.0.0.161        2008.10.15        -
BitDefender        7.2        2008.10.15        -
CAT-QuickHeal        9.50        2008.10.14        -
ClamAV        0.93.1        2008.10.15        -
DrWeb        4.44.0.09170        2008.10.15        -
eSafe        7.0.17.0        2008.10.15        -
eTrust-Vet        31.6.6149        2008.10.15        -
Ewido        4.0        2008.10.15        -
F-Prot        4.4.4.56        2008.10.14        -
F-Secure        8.0.14332.0        2008.10.15        -
Fortinet        3.113.0.0        2008.10.15        -
GData        19        2008.10.15        -
Ikarus        T3.1.1.34.0        2008.10.15        -
K7AntiVirus        7.10.496        2008.10.15        -
Kaspersky        7.0.0.125        2008.10.15        -
McAfee        5405        2008.10.14        -
Microsoft        1.4005        2008.10.15        -
NOD32        3524        2008.10.15        -
Norman        5.80.02        2008.10.15        -
Panda        9.0.0.4        2008.10.15        -
PCTools        4.4.2.0        2008.10.15        -
Prevx1        V2        2008.10.15        -
Rising        20.66.22.00        2008.10.15        -
SecureWeb-Gateway        6.7.6        2008.10.15        -
Sophos        4.34.0        2008.10.15        -
Sunbelt        3.1.1725.1        2008.10.15        -
Symantec        10        2008.10.15        -
TheHacker        6.3.1.0.112        2008.10.15        -
TrendMicro        8.700.0.1004        2008.10.15        -
VBA32        3.12.8.6        2008.10.14        -
ViRobot        2008.10.15.1421        2008.10.15        -
VirusBuster        4.5.11.0        2008.10.15        -
weitere Informationen
File size: 23888 bytes
MD5...: 6186b6b953bdc884f0f379b84b3e3a98
SHA1..: 92395ba8e2b937781103ba8ff071f8468f0c41ba
SHA256: 679dc67b74da3615d3ac88fcf8c9b5144b66ee69710b21b005b57198108c2bfc
SHA512: bc1783b8f9c453e4fd47bf13e5c7285a39e212ebf3434a3b0b73449271188946
a660fc682a566bb673d6b70bd5ec285ce5d66029901330fbe356beffa141d7e3
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x16005
timedatestamp.....: 0x4788ff66 (Sat Jan 12 17:56:54 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x29da 0x2a00 6.48 a6e23457839b82ca72b353db47d8ae7a
.rdata 0x4000 0x818 0xa00 2.76 dc07aa81dd3018f5183372f2f64cf6f2
.data 0x5000 0x44c 0x200 0.87 a5e7516a57500fbb07b473bc3b529afd
INIT 0x6000 0x43c 0x600 4.25 776a4ddde44540bf8c8b52cffe6987f2
.rsrc 0x7000 0x400 0x400 3.34 022294967b14baa72a80073e80651011
.reloc 0x8000 0x380 0x400 4.87 76a77fd12df7d8f9fa634cfa43d2b029

( 2 imports )
> ntoskrnl.exe: MmMapLockedPagesSpecifyCache, IofCompleteRequest, PsGetCurrentProcessId, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, ZwClose, RtlUnicodeStringToInteger, wcscspn, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, ZwCreateKey, wcslen, MmIsAddressValid, IoGetCurrentProcess, ObfDereferenceObject, RtlInitUnicodeString, IofCallDriver, KeInitializeEvent, IoBuildDeviceIoControlRequest, ZwLoadDriver, IoGetDeviceObjectPointer, ZwQueryInformationProcess, KeReleaseMutex, KeInitializeMutex, ZwQuerySystemInformation, ExFreePoolWithTag, ExAllocatePoolWithTag, KeQuerySystemTime, RtlUnwind, KeTickCount, KeBugCheckEx, IoDeleteSymbolicLink, KeWaitForSingleObject, IoDeleteDevice
> HAL.dll: ExReleaseFastMutex, ExAcquireFastMutex

( 0 exports )
C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\PCD65X2.sys
Wurde bereits gelöscht

E:\isre1.exe <- ? USB-Stick/Festplatte?
Richtig! Ist ein Stick!

Avenger
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\414018848" deleted successfully.
Folder "C:\Temp\plugtmp-10" deleted successfully.
Folder "C:\Temp\plugtmp-11" deleted successfully.
Folder "C:\Temp\is-UK3DP.tmp" deleted successfully.
Folder "C:\Temp\is-KGR36.tmp" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished!  Terminate.
Prevx
Eine seltsame Software, zeigt mir an, dass Avenger und Gmouse (war mein alter Maustreiber in einem Datensicherungsverzeichnis) infiziert sei und weigert sich gleichzeitig dieses zu beheben, bevor ich nicht ein paar Euros springen lasse.

Chris4You 16.10.2008 09:09
Hi,

ist OK; Der Scanner von Prrevx ist sehr gut, daher verwende ich ihn gerne. Für die vollständige Lösung wollen sie tatsächlich Geld sehen (wollen auch von was leben), im Unterschied zu manch anderen Fake-Scannern (Antivirus 2008 z. B.) funktioniert er auch tatsächlich ;o).

Das Avenger erkannt wurde ist OK, er benutzt schließlich die gleichen Mechanismen ...
Bei dem Mousetreiber wird es sich um einen Fehlalarm handeln.

So, wenn alles läuft noch einen kleinen Rootkitscann und dann aufräumen...

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Aufräumen (wenn Avira nichts findet):
Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren


chris
Ps.: Du modifizierst Kernels?

Ganymed 17.10.2008 08:43
Hallo Chris!!!

An dieser Stelle meinen allerherzlichsten Dank für Deine Hilfe. Mein Rechner ist wieder vollständig sauber und mein persönliches Wissen zu dieser Materie - vor wenigen Tagen noch annähernd Null - nun deutlich ergänzt.

Ich hoffe, dass sich einmal die Gelegengheit zur Revanche ergibt!
Lieben Gruß
Peter

P.S. Mit dem Kernel hatte ich mich mal etwa 2002 experimentativ beschäftigt. Da ich allerdings mittlerweile beruflich andere Wege eingeschlagen habe, bin ich - was die Informatik angeht - seit gut fünf Jahren quasi komatös...


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19