Zwei Warnmeldungen Autorun!inf / Rowmuny.A lassen sich nicht beseitigen
 

Hallo Zusammen,

ich bekomme täglich die Fehlermeldung, dass die Datei "launchhh.vbs" im System32 Ordner nicht gefunden wurde, dazu kommt, dass mein Microsoft Essentials mir immer wieder die beiden Folgenden bedrohungen anzeigt:

Worm: Win32/Autorun!inf
Worm: BAT/Rowmuny.A

Die beiden "Würmer" werden dann von MS entfernt und es steht erfolgreich dort, dann kommen sie allerdings nach ca. 15 Min wieder!!!

Außerdem ist mir aufgefallen, dass beim Start von Windows Vista unten in der Taskleiste kurz "Project Blackout V.2" erscheint und dann wieder verschwindet!

Anbei mal der HiJack:HiJackthis Logfile:
--- --- ---

Vielen Dank für Eure Hilfe und viele Grüße,

Ash

Hi,

oh-ha, das ist einiges los... bevor ich mich verkühnstele:


Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris
Für mich:
O4 - HKCU\..\Run: [recyclerr] C:\Users\André Döring\AppData\Roaming\recyclerr\recyclerr.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\System32\install\server.exe
O4 - HKLM\..\Run: [HKLM] C:\Windows\System32\install\server.exe
O4 - HKLM\..\Run: [recyclerr] C:\Users\André Döring\AppData\Roaming\recyclerr\recyclerr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\System32\install\server.exe

Anbei die beiden Logfiles:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4629

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

17.09.2010 12:30:59
mbam-log-2010-09-17 (12-30-59).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 139904
Laufzeit: 8 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\Users\André Döring\AppData\Roaming\recyclerr\recyclerr.exe (Trojan.Dropper) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0uf17x02-1r75-b4n4-0x2e-j4lt8mgw5s0o} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\Software\victim (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\recyclerr (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\recyclerr (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Dropper) -> Data: c:\users\andré döring\appdata\roaming\recyclerr\recyclerr.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Users\André Döring\AppData\Roaming\recyclerr\recyclerr.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\André Döring\AppData\Roaming\recyclerr\recyclerr.exe (Trojan.Dropper) -> No action taken.
C:\ntldr.exe (Trojan.Dropper) -> No action taken.
C:\Windows\System32\drivers\tmpp.exe (Trojan.Dropper) -> No action taken.
C:\Users\André Döring\AppData\Local\Temp\85782640_server.exe (Trojan.Dropper) -> No action taken.
C:\Windows\System32\launch.vbs (Malware.Trace) -> No action taken.
C:\Windows\System32\logg.txt (Malware.Trace) -> No action taken.
C:\Users\André Döring\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.

_____________________________________________________________OTL Logfile:
--- --- ---
_____________________________________________________
OTL Extras logfile created on: 17.09.2010 12:47:47 - Run 1
OTL by OldTimer - Version 3.2.12.1 Folder = C:\Users\André Döring\Downloads
Windows Vista Business Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 44,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111,88 Gb Total Space | 63,11 Gb Free Space | 56,41% Space Free | Partition Type: NTFS
Drive D: | 111,00 Gb Total Space | 110,41 Gb Free Space | 99,47% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: BÜRO-PC
Current User Name: André Döring
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0

______________

Ich habe bei malewarebytes nur einen quick-scan laufen lassen können, der full-scan brach immer wieder bei 50022 Dateien ab. Des Weiteren habe ich die 10 Probleme mit dem Programm behoben, war das falsch???

Viele Grüße und vor allem, vielen Dank :)

Hi,

das EXTRA-log von OTL ist nicht vollständig.
Das Du die Funde mit MAM gelöscht hast ist Okay, es besteht allerdings Rootkitverdacht (da sind typische Treiber installiert)...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Packe die Dateien
C:\Windows\System32\launchhh.vbs
C:\Windows\System32\launch.bat
C:\Windows\System32\net.vbs
lade sie hoch und schicke mir ein PM mit download und löschlink...
Fileuplod:
File-Upload.net - Ihr kostenloser File Hoster!, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

Die Dateien kennst Du nicht? Ich habe das was gefunden (im Web) über die Dateien, das sieht nicht gut aus. Von einem sauberen Rechner sofort alle Passwörter im WEB ändern!

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Wenn es sich um kein 64-Bit System handelt (von dem ich ausgehe):
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hi,

anbei die Ergebnisse des Online-Tests:

1.) C:\Windows\System32\launchhh.vbs
Antivirus Version Last Update Result
AhnLab-V3 2010.09.19.00 2010.09.18 -
AntiVir 8.2.4.58 2010.09.18 -
Antiy-AVL 2.0.3.7 2010.09.18 -
Authentium 5.2.0.5 2010.09.18 -
Avast 4.8.1351.0 2010.09.18 -
Avast5 5.0.594.0 2010.09.18 -
AVG 9.0.0.851 2010.09.18 -
BitDefender 7.2 2010.09.18 -
CAT-QuickHeal 11.00 2010.09.18 -
ClamAV 0.96.2.0-git 2010.09.18 -
Comodo 6119 2010.09.18 -
DrWeb 5.0.2.03300 2010.09.18 -
Emsisoft 5.0.0.37 2010.09.18 -
eSafe 7.0.17.0 2010.09.17 -
eTrust-Vet 36.1.7862 2010.09.17 -
F-Prot 4.6.1.107 2010.09.18 -
F-Secure 9.0.15370.0 2010.09.18 -
Fortinet 4.1.143.0 2010.09.18 -
GData 21 2010.09.18 -
Ikarus T3.1.1.88.0 2010.09.18 -
Jiangmin 13.0.900 2010.09.18 -
K7AntiVirus 9.63.2552 2010.09.18 -
Kaspersky 7.0.0.125 2010.09.18 -
McAfee 5.400.0.1158 2010.09.18 -
McAfee-GW-Edition 2010.1C 2010.09.18 -
Microsoft 1.6201 2010.09.18 -
NOD32 5460 2010.09.18 -
Norman 6.06.06 2010.09.18 -
nProtect 2010-09-18.01 2010.09.18 -
Panda 10.0.2.7 2010.09.18 -
PCTools 7.0.3.5 2010.09.18 -
Prevx 3.0 2010.09.18 -
Rising 22.65.05.00 2010.09.18 -
Sophos 4.57.0 2010.09.18 -
Sunbelt 6894 2010.09.18 -
SUPERAntiSpyware 4.40.0.1006 2010.09.18 -
Symantec 20101.1.1.7 2010.09.18 -
TheHacker 6.7.0.0.023 2010.09.18 -
TrendMicro 9.120.0.1004 2010.09.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.18 -
VBA32 3.12.14.0 2010.09.17 -
ViRobot 2010.9.18.4048 2010.09.18 -
VirusBuster 12.65.13.0 2010.09.18 -
Additional information
Show all
MD5 : d027f4d5eebe73889e0a8b5843f5b9e4
SHA1 : 7d1aa857c0e8aaf94e4c430d9f7ac075da51998e
SHA256: 31dc2b1fa93efdd356e9b24812e986066f99c2cf494ee9850dcc983313242a63
ssdeep: 3:ZK2iopFtSHFocYowhYhFNAJFXQKMMLBKWAIEGfNLHERHb4ZRDSHFoOU/vn:ZtiopDi4KhFS75
SG5ERELiVU/vn
File size : 142 bytes
First seen: 2010-04-27 11:34:03
Last seen : 2010-09-18 19:18:24
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
______________________________________________________________
2.) C:\Windows\System32\launch.bat
Antivirus Version Last Update Result
AhnLab-V3 2010.09.19.00 2010.09.18 -
AntiVir 8.2.4.58 2010.09.18 -
Antiy-AVL 2.0.3.7 2010.09.18 -
Authentium 5.2.0.5 2010.09.18 -
Avast 4.8.1351.0 2010.09.18 -
Avast5 5.0.594.0 2010.09.18 -
AVG 9.0.0.851 2010.09.18 -
BitDefender 7.2 2010.09.18 -
CAT-QuickHeal 11.00 2010.09.18 -
ClamAV 0.96.2.0-git 2010.09.18 -
Comodo 6119 2010.09.18 -
DrWeb 5.0.2.03300 2010.09.18 -
Emsisoft 5.0.0.37 2010.09.18 -
eSafe 7.0.17.0 2010.09.17 -
eTrust-Vet 36.1.7862 2010.09.17 -
F-Prot 4.6.1.107 2010.09.18 -
F-Secure 9.0.15370.0 2010.09.18 -
Fortinet 4.1.143.0 2010.09.18 -
GData 21 2010.09.18 -
Ikarus T3.1.1.88.0 2010.09.18 -
Jiangmin 13.0.900 2010.09.18 -
K7AntiVirus 9.63.2552 2010.09.18 -
Kaspersky 7.0.0.125 2010.09.18 -
McAfee 5.400.0.1158 2010.09.18 -
McAfee-GW-Edition 2010.1C 2010.09.18 Heuristic.LooksLike.Win32.Suspicious.E
Microsoft 1.6201 2010.09.18 -
NOD32 5460 2010.09.18 MSIL/Zamog.A
Norman 6.06.06 2010.09.18 -
nProtect 2010-09-18.01 2010.09.18 -
Panda 10.0.2.7 2010.09.18 -
PCTools 7.0.3.5 2010.09.18 -
Prevx 3.0 2010.09.18 -
Rising 22.65.05.00 2010.09.18 -
Sophos 4.57.0 2010.09.18 -
Sunbelt 6894 2010.09.18 -
SUPERAntiSpyware 4.40.0.1006 2010.09.18 -
Symantec 20101.1.1.7 2010.09.18 -
TheHacker 6.7.0.0.023 2010.09.18 -
TrendMicro 9.120.0.1004 2010.09.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.18 -
VBA32 3.12.14.0 2010.09.17 -
ViRobot 2010.9.18.4048 2010.09.18 -
VirusBuster 12.65.13.0 2010.09.18 -
Additional information
Show all
MD5 : 60305a2c7da44952cef3dd29a18cc363
SHA1 : aa950b8c8bff415cedb741c682da0328e4058c54
SHA256: b72edce8eb76c4ed8d604320f6b90d3db992971322261a6397893405cac51825
ssdeep: 96:CktkG8zAYzQziJjUzHfzjQznwzq1zhGz0hdhz1Wz5zXxcdQxij4JS3Wz3zLzXf:l2GGRiRrO
C4esaVhcd93gDvv
File size : 7458 bytes
First seen: 2010-09-18 19:24:52
Last seen : 2010-09-18 19:24:52
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
________________________________________________

3.) C:\Windows\System32\net.vbs
Antivirus Version Last Update Result
AhnLab-V3 2010.09.19.00 2010.09.18 -
AntiVir 8.2.4.58 2010.09.18 -
Antiy-AVL 2.0.3.7 2010.09.18 -
Authentium 5.2.0.5 2010.09.18 -
Avast 4.8.1351.0 2010.09.18 -
Avast5 5.0.594.0 2010.09.18 -
AVG 9.0.0.851 2010.09.18 -
BitDefender 7.2 2010.09.18 -
CAT-QuickHeal 11.00 2010.09.18 -
ClamAV 0.96.2.0-git 2010.09.18 -
Comodo 6119 2010.09.18 -
DrWeb 5.0.2.03300 2010.09.18 -
eSafe 7.0.17.0 2010.09.17 -
eTrust-Vet 36.1.7862 2010.09.17 -
F-Prot 4.6.1.107 2010.09.18 -
F-Secure 9.0.15370.0 2010.09.18 -
Fortinet 4.1.143.0 2010.09.18 -
GData 21 2010.09.18 -
Ikarus T3.1.1.88.0 2010.09.18 -
Jiangmin 13.0.900 2010.09.18 -
K7AntiVirus 9.63.2552 2010.09.18 -
Kaspersky 7.0.0.125 2010.09.18 -
McAfee 5.400.0.1158 2010.09.18 -
McAfee-GW-Edition 2010.1C 2010.09.18 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.6201 2010.09.18 -
NOD32 5460 2010.09.18 MSIL/Lolmehot.E
Norman 6.06.06 2010.09.18 -
nProtect 2010-09-18.01 2010.09.18 -
Panda 10.0.2.7 2010.09.18 -
PCTools 7.0.3.5 2010.09.18 -
Prevx 3.0 2010.09.18 -
Rising 22.65.05.00 2010.09.18 -
Sophos 4.57.0 2010.09.18 -
Sunbelt 6894 2010.09.18 -
SUPERAntiSpyware 4.40.0.1006 2010.09.18 -
Symantec 20101.1.1.7 2010.09.18 -
TheHacker 6.7.0.0.023 2010.09.18 -
TrendMicro 9.120.0.1004 2010.09.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.18 -
VBA32 3.12.14.0 2010.09.17 -
ViRobot 2010.9.18.4048 2010.09.18 -
VirusBuster 12.65.13.0 2010.09.18 -
Additional information
Show all
MD5 : 9fef7400ff0807762c05c3ce567d0b55
SHA1 : 57a8acd37b3e7b6cc8174a743d84ebdfc3622d43
SHA256: eb50950655ed0c2a4e512b7b74a07514f3364c7543ef2ea576cc09ac92cbfdda
ssdeep: 12:/s3vAWCYha/ycqD/yBViAz1Loisf2vCSrRSv:U/A34XD/yBViATQFWSv
File size : 480 bytes
First seen: 2010-06-03 11:40:31
Last seen : 2010-09-18 19:27:11
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
______________________________________________

4.) C:\Windows\System32\igfxdev.dll

Antivirus Version Last Update Result
AhnLab-V3 2010.09.19.00 2010.09.18 -
AntiVir 8.2.4.58 2010.09.18 -
Antiy-AVL 2.0.3.7 2010.09.18 -
Authentium 5.2.0.5 2010.09.18 -
Avast 4.8.1351.0 2010.09.18 -
Avast5 5.0.594.0 2010.09.18 -
AVG 9.0.0.851 2010.09.18 -
BitDefender 7.2 2010.09.18 -
CAT-QuickHeal 11.00 2010.09.18 -
ClamAV 0.96.2.0-git 2010.09.18 -
Comodo 6119 2010.09.18 -
DrWeb 5.0.2.03300 2010.09.18 -
Emsisoft 5.0.0.37 2010.09.18 -
eSafe 7.0.17.0 2010.09.17 -
eTrust-Vet 36.1.7862 2010.09.17 -
F-Prot 4.6.1.107 2010.09.18 -
F-Secure 9.0.15370.0 2010.09.18 -
Fortinet 4.1.143.0 2010.09.18 -
GData 21 2010.09.18 -
Ikarus T3.1.1.88.0 2010.09.18 -
Jiangmin 13.0.900 2010.09.18 -
K7AntiVirus 9.63.2552 2010.09.18 -
Kaspersky 7.0.0.125 2010.09.18 -
McAfee 5.400.0.1158 2010.09.18 -
McAfee-GW-Edition 2010.1C 2010.09.18 -
Microsoft 1.6201 2010.09.18 -
NOD32 5460 2010.09.18 -
Norman 6.06.06 2010.09.18 -
nProtect 2010-09-18.01 2010.09.18 -
Panda 10.0.2.7 2010.09.18 -
PCTools 7.0.3.5 2010.09.18 -
Prevx 3.0 2010.09.18 -
Rising 22.65.05.00 2010.09.18 -
Sophos 4.57.0 2010.09.18 -
Sunbelt 6894 2010.09.18 -
SUPERAntiSpyware 4.40.0.1006 2010.09.18 -
Symantec 20101.1.1.7 2010.09.18 -
TheHacker 6.7.0.0.023 2010.09.18 -
TrendMicro 9.120.0.1004 2010.09.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.18 -
VBA32 3.12.14.0 2010.09.17 -
ViRobot 2010.9.18.4048 2010.09.18 -
VirusBuster 12.65.13.0 2010.09.18 -
Additional information
Show all
MD5 : 37a4924b767a94124c168d1d480d4db2
SHA1 : 31bcb5ffcf94ff4c82b64e709b44153e8a8d5f3f
SHA256: da1fd79aefcfb822f17c5e3b19a94d0372642f05ded639c63be67a0b536eccb1
ssdeep: 3072:TPUVTM0S0SFCypIPR4Qr891rItApBxJBi+74gPT/etaA/60Z6W:zo0IPR4Qo91EiQa4gPb
Nne6
File size : 208896 bytes
First seen: 2010-09-18 19:30:17
Last seen : 2010-09-18 19:30:17
TrID:
DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
sigcheck:
publisher....: Intel Corporation
copyright....: Copyright 1999-2006, Intel Corporation
product......: Intel(R) Common User Interface
description..: igfxdev Module
original name: IGFXDEV.DLL
internal name: IGFXDEV
file version.: 7.14.10.1540
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x185C2
timedatestamp....: 0x48989EEA (Tue Aug 05 18:41:46 2008)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x24F7C, 0x25000, 6.68, 1dc52c9d4c5eb655692a4caa0541b808
.rdata, 0x26000, 0x5892, 0x6000, 5.19, 9e53d15e0549a59881b271083b7af4a0
.data, 0x2C000, 0x441C, 0x2000, 3.61, 33aace1b07d42c23dd4d67c2a9678195
.rsrc, 0x31000, 0x1004, 0x2000, 4.44, 7931b503ec2aa134af81c111aca1114c
.reloc, 0x33000, 0x28F6, 0x3000, 4.56, d006a8e9b65d49a01998ce223d5bb784

[[ 6 import(s) ]]
KERNEL32.dll: GlobalAlloc, InterlockedDecrement, CloseHandle, SetEvent, OpenEventA, LocalFree, FormatMessageA, CreateMutexA, WaitForSingleObject, ReleaseMutex, WideCharToMultiByte, lstrlenW, RaiseException, lstrlenA, DisableThreadLibraryCalls, GetModuleFileNameA, GlobalLock, MultiByteToWideChar, LoadResource, FindResourceA, LoadLibraryExA, GetConsoleCP, SetFilePointer, FlushFileBuffers, CreateFileA, WriteConsoleW, GetConsoleOutputCP, SetLastError, GlobalUnlock, IsDBCSLeadByte, GlobalFree, GetModuleHandleA, GetLastError, GetSystemPowerStatus, LoadLibraryA, GetProcAddress, GetCurrentProcess, FreeLibrary, GetVersionExA, InterlockedIncrement, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, Sleep, GetLocaleInfoA, lstrcmpiA, SizeofResource, WriteConsoleA, SetStdHandle, ReadFile, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, InterlockedExchange, GetACP, GetThreadLocale, RtlUnwind, HeapFree, HeapAlloc, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapReAlloc, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, GetOEMCP, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, HeapDestroy, HeapCreate, VirtualFree, ExitProcess, WriteFile, GetStdHandle, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetConsoleMode
USER32.dll: ChangeDisplaySettingsA, PostMessageA, RegisterWindowMessageA, GetSystemMetrics, CharNextA, FindWindowA, BroadcastSystemMessageA, EnumDisplayDevicesA, GetDC, ReleaseDC, UnregisterClassA
GDI32.dll: CreateDCA, DeleteDC, GetDeviceCaps
ADVAPI32.dll: RegEnumKeyExA, RegQueryInfoKeyA, RegDeleteValueA, RegDeleteKeyA, GetSecurityInfo, AllocateAndInitializeSid, SetEntriesInAclA, SetSecurityInfo, RegCreateKeyExA, RegOpenKeyA, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA, RegCloseKey
ole32.dll: CoTaskMemRealloc, CoTaskMemFree, CoCreateInstance, StringFromGUID2, CoTaskMemAlloc
OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -

[[ 5 export(s) ]]
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, WinlogonUnlockEvent

__________________________________________

Lade die Datei gleich noch hoch, den Rest poste ich gleich morgen :)

Vielen Dank für die tolle Hilfe !!!

Anbei noch der Log von ComboFix:

Combofix Logfile:
--- --- ---
Und sogar noch die des Rootkit Detector:
GMER Logfile:
--- --- ---



Viele Grüße

Hi,

Danke für die Files, bin mal drübergeflogen, da wird an verschiedene Adressen was versendet... Habs mal zu den Virenlabors weitergeleitet...
Hast Du alle Passwörter von einem sauberen Rechner aus geändert?

Von den nachfolgenden zu prüfenden Files nur dann das Ergebniss posten, wenn was gefunden wurde (sie sollten eigentlich sauber sein);O)

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen (wenn was gefunden wurde, sonst nur kurzer Kommentar "clean".

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danach noch Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
Shit, ich bin das .bat file noch mal durchgegangen, prüfe umgehend Deine DNS-Einstellungen!
Das Teil setzt Dir da was statisches aus der USA rein...

Servus,

wie prüfe ich meine DNS-Einstellungen?

Die Dateien ergaben bei der Online-Prüfung keine Bedrohung, allerdings kann er die Datei: C:\Windows\system32\Drivers\PROCEXP113.SYS nicht finden!

DrWeb - CureIt kommt gleich nach ...

Also DrWeb - CureIt hat nichts gefunden, keine Infizierungen.

Ist mein System jetzt trotzdem noch verseucht?

Hi,

DNS-Einstellung:
Ändern der TCP/IP-Einstellungen

PROCEXP113.SYS
Hattest Du mal SW (den Process Explorer) von Sysinternals auf dem Rechner?

Soweit sieht es eigentlich gut aus, was macht der Rechner?

chris