b.exe trojaner?

[Lukesx]

Mist da haste wahrscheinlich nichts von oder?
Hilft dir der Link dazu

Virustotal. MD5: 04caf1c63a459677b176a3795a48abff a variant of Win32/Kryptik.ANU TrojanDownloader:Win32/Renos.JI Win32/XDecrypt

[Capt. Clark]

ich glaube es ist wichtig zu erwähnen das norton nochmal was gefunden hat
"trojan.fakeavalert" dazu gehören folgende dateien:

"HKEY_LOCAl_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\->AntiVirusDisableNotify:0"
"HKEY_LOCAl_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\->FirewallDisableNotify:0"
"HKEY_LOCAl_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\->UpdatesDisableNotify:0"

[bLacK_dRaSanG]

Mist da haste wahrscheinlich nichts von oder?
Hilft dir der Link dazu

Virustotal. MD5: 04caf1c63a459677b176a3795a48abff a variant of Win32/Kryptik.ANU TrojanDownloader:Win32/Renos.JI Win32/XDecrypt

Doch doch^^, ob man es kopiert oder den Link postet ist egal .
Danke dafür, ist doch vergleichsweise harmlos .

Falls du ihn auch los werden möchtest, erstelle zuerst ein Hijackthis-Logfile:
Lade dir Hijackthis runter (oben rechts unter "direktdownload")
Entpacke es in einem eigenen Ordner (z.B.: C:\Programme\Hijackthis)
Nenne die Hijackthis.exe in abc.exe um.
Führe die Datei aus und klicke auf "Do a system scan and save a logfile"
Nach einigen Sekunden öffnet sich ein Editorfenster, dessen kompletten
Inhalt kopierst du dann hier in diesen Thread als Code-Tags rein.
Der Code-Tag ist der dritten Button von rechts im Editor (#).

hab nochmal ein par fragen:
was ist mit der auswertung von virustotal.com bzw was sagt wir das? und nur nebenbei der interesse halber wollte ich wissen was es bringt die hijackthis.exe in abc.exe zu ändern hab das auch gemacht aber wofür war das?
achja der scyn ist noch nicht fertig und es wurden schon 4 infizierte dateien gefunden

Die Auswertung sagt uns vor allem, ob es sich um eine schädliche Datei handelt. Die Datei wird mit 41 unterschiedlichen Virenscannern gescannt.
Wenn man den Namen hat, kann man sich auch über den Schadpotential informieren .
Zudem weiß man, welche Scanner man einsetzen kann, um ihm zu löschen.
Durch die MD5-Werte etc. ist es auch möglich, zu sagen, ob es sich um eine originale Datei handelt, nützlich um einen Fehlalarm ausschließen zu können.

Das umbenennen der Hijackthis.exe dient nur dazu, dass einige Viren diesen Prozess nicht stoppen können und so die Ausführung verhindert. Ist zwar heute nicht mehr gerade effizient, aber schadet halt auch nicht .

mfg
bLacK_dRaSanG

[Capt. Clark]

ok danke für die infos interessant
ps.: haste den vorigen beitrag von mir gelesen über einen neuen virus den norton erkannt hat?

[Lukesx]

Vergleichsweise Harmlos^^? :-D Erleichtert mich schonmal etwas, ich hätte das jetzt aber nicht erwartet, weil ich dachte bei 15/40 rot wäre das nicht so berauschend xD

Sollte ich den HiJack sowohl von der msa.exe und der b.exe machen? Übrigens gibts da auch noch eine namens c.exe, aber die wird nicht im Task Manager bei Anwedungen aufgeführt..

[bLacK_dRaSanG]

ok danke für die infos interessant
ps.: haste den vorigen beitrag von mir gelesen über einen neuen virus den norton erkannt hat?

Ja, das ist kein Schädling was er gefunden hat, sondern "bedenkliche Einträge in der Registry". Da sie alle auf 0 gesetzt sind, bedeutet es: kein Antivirus, Firewall installiert und veraltete Updates.
Darum kann man sich später auch kümmern^^.

Vergleichsweise Harmlos^^? :-D Erleichtert mich schonmal etwas, ich hätte das jetzt aber nicht erwartet, weil ich dachte bei 15/40 rot wäre das nicht so berauschend xD

Sollte ich den HiJack sowohl von der msa.exe und der b.exe machen? Übrigens gibts da auch noch eine namens c.exe, aber die wird nicht im Task Manager bei Anwedungen aufgeführt..

Ist auch nicht so berauschend, dass von 40 Scannern nur 15 die Datei als Schädlich erkennen .

Den Scan auf virustotal.com brauchst du bei den anderen Dateien nicht durchführen. Hijackthis umfasst dein gesamtes System und nicht nur eine Datei, einfach nach Anleitung ausführen .

Falls du weiß, wie man ein Archiv (zip) erstellt und es mit einem Passwort ("virus") versieht, dann könntest du die Dateien im Archiv einpacken und an mich senden (victimkiller64@gmx.de). Ich werde es dann einigen Antiviren-Herstellern weiterleiten, damit sie es in ihren Programmen auf nehmen können .

mfg
bLacK_dRaSanG

[Unregistriert]

Hallo,

ich hab das gleich Problem...seit gestern habe ich die b.exe auf meinem Rechner.
Ich habe mal die Auswertung der b.exe vom Temp-Ordner von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.24 -
AhnLab-V3 5.0.0.2 2009.09.24 -
AntiVir 7.9.1.25 2009.09.24 -
Antiy-AVL 2.0.3.7 2009.09.24 -
Authentium 5.1.2.4 2009.09.24 -
Avast 4.8.1351.0 2009.09.23 -
AVG 8.5.0.412 2009.09.24 -
BitDefender 7.2 2009.09.24 -
CAT-QuickHeal 10.00 2009.09.24 -
ClamAV 0.94.1 2009.09.24 -
Comodo 2424 2009.09.24 -
DrWeb 5.0.0.12182 2009.09.24 Trojan.Packed.189
eSafe 7.0.17.0 2009.09.24 -
eTrust-Vet 31.6.6758 2009.09.24 Win32/FakeAVDl.NM
F-Prot 4.5.1.85 2009.09.23 -
F-Secure 8.0.14470.0 2009.09.24 -
Fortinet 3.120.0.0 2009.09.24 -
GData 19 2009.09.24 -
Ikarus T3.1.1.72.0 2009.09.24 -
Jiangmin 11.0.800 2009.09.24 -
K7AntiVirus 7.10.853 2009.09.24 -
Kaspersky 7.0.0.125 2009.09.24 -
McAfee 5751 2009.09.24 FakeAlert-HT
McAfee+Artemis 5751 2009.09.24 FakeAlert-HT
McAfee-GW-Edition 6.8.5 2009.09.24 -
Microsoft 1.5005 2009.09.23 TrojanDownloader:Win32/Renos.JI
NOD32 4455 2009.09.24 Win32/TrojanDownloader.FakeAlert.AJD
Norman 6.01.09 2009.09.24 -
nProtect 2009.1.8.0 2009.09.24 -
Panda 10.0.2.2 2009.09.23 Suspicious file
PCTools 4.4.2.0 2009.09.24 -
Prevx 3.0 2009.09.24 -
Rising 21.48.34.00 2009.09.24 -
Sophos 4.45.0 2009.09.24 -
Sunbelt 3.2.1858.2 2009.09.24 Trojan.Win32.FraudPack.tbi (v)
Symantec 1.4.4.12 2009.09.24 -
TheHacker 6.5.0.2.016 2009.09.24 -
TrendMicro 8.950.0.1094 2009.09.24 -
VBA32 3.12.10.11 2009.09.24 -
ViRobot 2009.9.24.1952 2009.09.24 -
VirusBuster 4.6.5.0 2009.09.24 -
weitere Informationen
File size: 147968 bytes
MD5...: 413359e547ad6e2e4efbdd80d32608da
SHA1..: c2b9b3f2f4791a2204cb3ba82369c21dd82d609e
SHA256: e14551d60b76d1fbbd42788270f90df78dd7d8dd506292ac722ef761f3b5 d86e
ssdeep: 3072:l10OZLW6XsI9R3IZEUD8aarSwX0GFdAOt0yX7xKeENwD8rNvEN:l17X syIZ
EUwaa2wXzIq7xKeqtvE
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1887
timedatestamp.....: 0x45812bd7 (Thu Dec 14 10:47:51 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x6e2b 0x7000 4.39 1ab4f656c01dca9760c71f35adb837cf
.bss 0x8000 0x204a 0x2200 2.93 a3707b006cc81e0947e2787c69a4dce2
.itext 0xb000 0x60034 0x1a200 7.26 f6d5ffd9c5f9b64c2b83f5240769e65c
.idata 0x6c000 0x9d4 0xa00 3.61 39fe45e15dda50c3c52eaa14b0e40c8e

( 4 imports )
> USER32.DLL: LoadMenuA, DialogBoxParamA, CloseWindow, EndDialog, IsMenu, DialogBoxParamW, BeginPaint, BlockInput, LoadCursorA, GetDlgItem, AppendMenuA, GetWindowTextA, DrawTextW, GetWindowTextLengthA
> ADVAPI32.DLL: RegOpenKeyA, RegQueryValueExA, RegDeleteValueA, RegLoadKeyA, RegLoadKeyW, RegCreateKeyExW, RegCreateKeyExA, RegEnumValueA, RegEnumKeyExW, RegOpenKeyExW, RegEnumKeyW, RegQueryValueW, RegCreateKeyW, RegEnumKeyExA
> KERNEL32.DLL: OpenFileMappingA, CreateDirectoryA, GetCommandLineA, CopyFileExW, FindAtomA, ExitThread, FreeResource, GetLastError, GetStdHandle, FlushFileBuffers, GetCPInfo, CopyFileA, FindAtomW, OpenFile, AddAtomA, GetFileType, GetPriorityClass
> KERNEL32.DLL: DeleteAtom, ExitThread, ReadFile, GetLastError, GetFileTime, FlushFileBuffers, CopyFileExW, WriteFile, FreeResource, GetPriorityClass, DeleteFileA, GlobalFree

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win16/32 Executable Delphi generic (25.5%)
Clipper DOS Executable (24.9%)
Generic Win/DOS Executable (24.7%)
DOS Executable Generic (24.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Sry, wenn man es schlecht lesen kann...

[Lukesx]

ich probiere das später mal, wenn das für dich in Ordnung ist^^..
Ich mache jetzt mal den Scan
Wie in deiner Anleitung^^ :-)

Jetzt habe ich das mit den 15/40 erst verstanden^^

Erklärt mir nochmal eben einer wie ich diesen Scan hier hochlade ohne das das zu unübersichtlich wird?
Sry ich bin in sowas nicht so bewandt^^

[bLacK_dRaSanG]

Erklärt mir nochmal eben einer wie ich diesen Scan hier hochlade ohne das das zu unübersichtlich wird?
Sry ich bin in sowas nicht so bewandt^^

Hi,

im Editor gibt es oben in der Leiste das Symbol "#". Wenn du drauf klickst, erscheint folgendes:


[code]
[/code]


Zwischen diesen beiden Einträgen kopiert du dann das Ergebnis.
[code]...Hijackthis-Logfile...[/code].

PS: Es gibt auch ein Editierbutton, damit kannst du deinen Beitrag ergänzen/ändern. Damit du nicht immer ständig neue Beiträge schreiben muss, was übrigens nicht erlaubt ist . Zwei Beiträge hintereinander zu schreiben .

mfg
bLacK_dRaSanG

[Lukesx]

Also ich komme mir selbst etwas bescheuert vor tut mir leid, aber der editor ist doch das worin ich schreibe oder nicht^^ Und da habe ich nur die funktionen für Fett, Kursiv, Unterstrichen, Farbe, Links, Grafik eingeben, Zitieren..

wo ist Code^^
*Schäm*^^

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:42, on 24.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\msa.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\I-Tunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Dokumente und Einstellungen\Lukas\Lokale Einstellungen\Temp\7zS60.tmp\firefox.exe
C:\DOKUME~1\Lukas\LOKALE~1\Temp\b.exe
E:\HiJackThis\Abc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll (file missing)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\I-Tunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Call of Duty 5\Excel Gruppenarbeit\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\Lukas\LOKALE~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ADILOOK Deutsche Version auf Laufwerk C.LNK = C:\COKTEL\ADDY4\ADILOOK.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - E:\YouTube Video Converter\upod_link.HTM
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1225481841
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166380946062
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c98e1042d1d0fc) (gupdate1c98e1042d1d0fc) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O24 - Desktop Component 0: (no name) - http://i82.photobucket.com/albums/j271/originalmetalmaiden/undertaker.jpg
O24 - Desktop Component 1: (no name) - http://students.ithaca.edu/~bwolfe1/finalproject/images/batista.jpg

--
End of file - 9305 bytes

So jetzt aber.. ich spacken^^

[bLacK_dRaSanG]

So jetzt aber.. ich spacken^^

Geht doch^^.

Beende im Taskmanager folgende Prozesse:

Code:

msa.exe
b.exe

Fixe nun folgende Einträge:

Code:

	  	R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

	  	R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)

	  	R3 - URLSearchHook: (no name) -  - (no file)

	  	R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll

O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll (file missing)

	  	O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\Lukas\LOKALE~1\Temp\b.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

Und schaue bitte unter Start --> Systemsteuerung --> Software, ob du dort ein Programm mit dem Namen askbar findest. Deinstalliere es .

Anleitung zum fixen:
Man fixt, indem man Hijackthis startet und auf "Do a system scan only klickt.
Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
Schließlich klickt man auf "Fix checked

Nach dem du das alles gemacht hast. Starte dein PC neu und poste ein neues Hijackthis-Logfile .

mfg
bLacK_dRaSanG

[Lukesx]

Gut ich gebe mein bestes, wird nen moment dauern bis gleich mal^^

So, Ask Toolbar ist deinstalliert, alle 12 Dateien wurden gefixxt und PC Neustart auch gemacht.. Beglücke mich mit guten Nachrichten^^

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:01:40, on 24.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Lukas\LOKALE~1\Temp\b.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\msa.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
E:\I-Tunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\HiJackThis\Abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\I-Tunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Call of Duty 5\Excel Gruppenarbeit\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\Lukas\LOKALE~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ADILOOK Deutsche Version auf Laufwerk C.LNK = C:\COKTEL\ADDY4\ADILOOK.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - E:\YouTube Video Converter\upod_link.HTM
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1225481841
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166380946062
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c98e1042d1d0fc) (gupdate1c98e1042d1d0fc) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O24 - Desktop Component 0: (no name) - http://i82.photobucket.com/albums/j271/originalmetalmaiden/undertaker.jpg
O24 - Desktop Component 1: (no name) - http://students.ithaca.edu/~bwolfe1/finalproject/images/batista.jpg

--
End of file - 7957 bytes

AHH Mist ich seh schon.. Die b.exe ist da doch immer noch .. Die sind auch weiterhin im Task Manager als anwendungen drinne.. aber ich hab sie gefixxt ganz sicher

[bLacK_dRaSanG]

So, Ask Toolbar ist deinstalliert, alle 12 Dateien wurden gefixxt und PC Neustart auch gemacht.. Beglücke mich mit guten Nachrichten^^

Ok, das "grobe" ist weg, die wirklichen Probleme aber nicht.
Die Datei msa.exe und b.exe waren immer noch in der Lage sich auszuführen. Dann greifen wir mal zu etwas härteren Geschützen....

Lasse mal Combofix drüberlaufen:

• Anleitung
• Download

Und poste natürlich wieder das Ergebnis .

Beachte unbedingt die Anleitung und die Meldungen.
Mache während des Scanvorgangs von Combofix nichts am PC! .
Selbst die Maus bleibt still!

mfg
bLacK_dRaSanG

[Lukesx]

Ich finds super von dir das du mir so hilfst^^.. ich werde das mal machen.. Bringt es was das die msa.exe und die b.exe nun viel viel kleineren Speicherplatz im Task Manager ausmachen.. Vllt. sind die jetzt noch existend, aber ungefährlich .. ?


Und du bist dir ganz sicher das ich das machen soll? Hoffentlich übersteht mein PC das!

[bLacK_dRaSanG]

Ich finds super von dir das du mir so hilfst^^.. ich werde das mal machen.. Bringt es was das die msa.exe und die b.exe nun viel viel kleineren Speicherplatz im Task Manager ausmachen.. Vllt. sind die jetzt noch existend, aber ungefährlich .. ?


Und du bist dir ganz sicher das ich das machen soll? Hoffentlich übersteht mein PC das!

Es ist abwegig, dass sie jetzt unschädlich wurden. Mir ist bisher nur ein PC bekannt, welche die Prozedur nicht überlebt hat... von einer ganzen Menge.

Falls du das aber nicht machen möchtest, können wir es auch anders angehen.

mfg
bLacK_dRaSanG

[Capt. Clark]

sooo jetz ist anti-malware fertig hier der log:

Code:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2855
Windows 6.0.6002 Service Pack 2

24.09.2009 20:05:15
mbam-log-2009-09-24 (20-05-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 317167
Laufzeit: 1 hour(s), 24 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

[oso79de]

@Lukesx: Die eigenen Beiträge lassen sich 24 Stunden lang editieren! Man muss also keine Doppel- oder sogar Dreifachposts machen. Bitte achte in Zukunft darauf!

Und nun zurück zum Thema!

[bLacK_dRaSanG]

@DX-CLark:

Bei jedem Fund steht, es wurde keine Action (vom Benutzer) ausgewählt.
Entweder du lässt es noch mal durchlaufen und lässt es dann löschen oder du machst es selbst:

Datei löschen:

Code:

C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

Registry-Einträge:

Code:

HKEY_CLASSES_ROOT\xml.xml 

HKEY_CLASSES_ROOT\xml.xml.1 

HKEY_CLASSES_ROOT\Typelib
\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d}

HKEY_CURRENT_USER\SOFTWARE\NordBull 

HKEY_CURRENT_USER\SOFTWARE\XML

HKEY_CURRENT_USER\SOFTWARE\poprock

Um in der Registry zu kommen. Gebe in dem Suchfeld im Starmenü "Regedit" und lasse es Admin ausführen. Im Fenster suchst du dann die aufgeführten Einträge und löschst diese .

Nach einem Neustart, hätte ich dann gerne noch mal ein Hijackthis-Logfile .

mfg
bLacK_dRaSanG

[Capt. Clark]

kann ich die datei jetz einfach so manuell löschen? (C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job)

[bLacK_dRaSanG]

kann ich die datei jetz einfach so manuell löschen? (C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job)

Ja, die kannst du jetzt so manuell löschen, genau wie die Registry-Einträge .