Home » Viren, Trojaner & Malware Forum » Stration.Gen - Stratio.147456 » Themenansicht

Stration.Gen - Stratio.147456
#0
11.03.2007, 19:56
Carlo2201
...neu hier

Beiträge: 2
#1 Hi,

aus irgendeinem Grund kann ich keine Antwort bei den bereits offenen nen Threads schreiben! Deswegen mach ich ein neues Thema auf.

So ich hatte ne Zeitlang kein Antiviren Programm. Fragt net warum ;)
Also seit kurzem habe ich Probleme das mein Rechner unregelmäßig nach 60 sekunden runterfährt (ich glaube Blaster32 oder so hieß der damals), aber ich SP2 und deswegen kann er ja net druff sein (habe aber auch das Norton Programm rüberlaufen lassen)

So nun habe ich Antivir installiert und der findet 2 Dinge (kann aber auch keinen ganzen Scan laufen lassen weil ich es beenden muss sonst zeigt der den Fehler immer wieder an)

Stration.Gen
Stratio.147456

Diese beiden zeigt er mir an.

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:50:58, on 11.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Carsten\Desktop\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "C:\Games\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Ich habe bereits Norman Malware benutzt wie in einem anderen Thread beschrieben. Das log sieht wie folgt aus:

LOG1:

Norman Generic Fix
Copyright © 1990 - 2007, Norman ASA. Built 2007/02/20 06:41:12

Norman Scanner Engine Version: 5.90.30
Nvcbin.def Version: 5.90.00, Date: 2007/02/20 06:41:12, Variants: 209664
Nvcmacro.def Version: 5.90.00, Date: 2007/02/20 06:41:12, Variants: 12
Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode) Service Pack 2
Logged on user: CARLO\Administrator

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = " confwmv.dll wmvstat.dll" -> ""




Scanning running processes and process memory...

C:\WINDOWS\SYSTEM32\winlogon.exe(292) (C:\WINDOWS\SYSTEM32\confwmv.dll!0x10000000) (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\SYSTEM32\winlogon.exe(292) (C:\WINDOWS\SYSTEM32\wmvstat.dll!0x004A0000) (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

C:\WINDOWS\SYSTEM32\winlogon.exe(292) (C:\WINDOWS\system32\dxtmmnmd.dll!0x01430000) (Infected with W32/Stration.ENJ)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\services.exe(340) (C:\WINDOWS\system32\confwmv.dll!0x10000000) (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\services.exe(340) (C:\WINDOWS\system32\wmvstat.dll!0x00380000) (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\lsass.exe(352) (C:\WINDOWS\system32\confwmv.dll!0x10000000) (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\lsass.exe(352) (C:\WINDOWS\system32\wmvstat.dll!0x00370000) (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\svchost.exe(516) (C:\WINDOWS\system32\confwmv.dll!0x10000000) (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\svchost.exe(516) (C:\WINDOWS\system32\wmvstat.dll!0x00370000) (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\svchost.exe(564) (C:\WINDOWS\system32\confwmv.dll!0x10000000) (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\svchost.exe(564) (C:\WINDOWS\system32\wmvstat.dll!0x00370000) (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\svchost.exe(616) (C:\WINDOWS\system32\confwmv.dll!0x10000000) (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\svchost.exe(616) (C:\WINDOWS\system32\wmvstat.dll!0x00370000) (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

C:\WINDOWS\Explorer.EXE(876) (C:\WINDOWS\system32\confwmv.dll!0x10000000) (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\Explorer.EXE(876) (C:\WINDOWS\system32\wmvstat.dll!0x00390000) (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

Number of processes/threads found: 549
Number of processes/threads scanned: 546
Number of processes/threads not scanned: 3
Number of infected processes/threads terminated: 0
Total scanning time: 14s


Scanning file system...

Scanning: C:\*.*

C:\WINDOWS\system32\confwmv.dll (Infected with W32/Stration.EOH)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\dxtmmnmd.dll (Infected with W32/Stration.ENJ)
File marked for defered cleaning (reboot required)

C:\WINDOWS\system32\wmvperf.exe (Infected with W32/Stration.ENE)
Deleted file

C:\WINDOWS\system32\wmvprf32.dll (Infected with W32/Stration.ENB)
Deleted file

C:\WINDOWS\system32\wmvstat.dll (Infected with W32/Stration.END)
File marked for defered cleaning (reboot required)

Scanning: D:\*.*

Scanning: H:\*.*

Scanning: c:\System Volume Information\*.*


Running post-scan cleanup routine:


Number of files found: 43705
Number of archives unpacked: 0
Number of files scanned: 43666
Number of files not scanned: 39
Number of files skipped due to exclude list: 0
Number of infected files found: 5
Number of infected files repaired/deleted: 2
Number of infections removed: 2
Total scanning time: 11m 25s

Log2:

Norman Generic Fix
Copyright © 1990 - 2007, Norman ASA. Built 2007/02/20 06:41:12

Norman Scanner Engine Version: 5.90.30
Nvcbin.def Version: 5.90.00, Date: 2007/02/20 06:41:12, Variants: 209664
Nvcmacro.def Version: 5.90.00, Date: 2007/02/20 06:41:12, Variants: 12
Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2
Logged on user: CARLO\Carsten





Scanning running processes and process memory...

Number of processes/threads found: 1192
Number of processes/threads scanned: 1189
Number of processes/threads not scanned: 3
Number of infected processes/threads terminated: 0
Total scanning time: 1m 7s


Scanning file system...

Scanning: C:\*.*

C:\WINDOWS\system32\confwmv.dll (Infected with W32/Stration.EOH)


Er ist bei diesem Scan allerdings abgestürzt. Ist also net komplett!
Seitenanfang Seitenende
11.03.2007, 22:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Carlo2201

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.03.2007, 23:35
Carlo2201
...neu hier

Themenstarter

Beiträge: 2
#3 Ok das Programm habe ich installiert und angewendet !

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8F6-55F3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.01.2007 13:06 65 desktop.ini
09.11.2006 14:36 5.019 swflash.inf
2 Datei(en) 5.084 Bytes
0 Verzeichnis(se), 213.507.014.656 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8F6-55F3

Verzeichnis von C:\

11.03.2007 23:45 0 sys.txt
11.03.2007 23:45 346 down.txt
11.03.2007 23:45 117 tmp.txt
11.03.2007 23:45 5.634 system.txt
11.03.2007 23:45 491 systemtemp.txt
11.03.2007 23:45 99.129 system32.txt
11.03.2007 18:33 2.145.386.496 pagefile.sys
09.03.2007 15:33 211 boot.ini
22.01.2007 13:07 0 AUTOEXEC.BAT
22.01.2007 13:07 0 IO.SYS
22.01.2007 13:07 0 MSDOS.SYS
22.01.2007 13:07 0 CONFIG.SYS
31.12.2002 13:00 4.952 bootfont.bin
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 251.184 ntldr
15 Datei(en) 2.145.796.124 Bytes
0 Verzeichnis(se), 213.507.014.656 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8F6-55F3

Verzeichnis von C:\WINDOWS

11.03.2007 18:34 0 0.log
11.03.2007 18:34 159 wiadebug.log
11.03.2007 18:34 0 wiaservc.log
11.03.2007 18:33 2.048 bootstat.dat
11.03.2007 18:32 11.760 WindowsUpdate.log
11.03.2007 18:29 540.593 setupapi.log
11.03.2007 17:59 623.388 ntbtlog.txt
11.03.2007 16:04 2.588 xpsp1hfm.log
11.03.2007 16:04 660 KB824146.log
11.03.2007 16:03 660 KB823980.log
09.03.2007 17:00 69 NeroDigital.ini
09.03.2007 15:33 582 win.ini
09.03.2007 15:33 227 system.ini
09.03.2007 15:08 32.204 DPINST.LOG
06.03.2007 15:28 197.755 setupact.log
06.03.2007 15:09 179 LDM.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8F6-55F3

Verzeichnis von C:\WINDOWS\system32

11.03.2007 23:44 89.134 nvapps.xml
11.03.2007 00:42 2.206 wpa.dbl
07.03.2007 09:25 185.952 rmoc3260.dll
07.03.2007 09:25 5.632 pndx5032.dll
07.03.2007 09:25 6.656 pndx5016.dll
07.03.2007 09:25 278.528 pncrt.dll
03.03.2007 17:34 76.282 perfc009.dat
03.03.2007 17:34 471.784 perfh009.dat
03.03.2007 17:34 492.322 perfh007.dat
03.03.2007 17:34 91.704 perfc007.dat
03.03.2007 17:34 1.120.580 PerfStringBackup.INI
23.01.2007 15:45 1.419.024 WdfCoInstaller01005.dll
23.01.2007 13:35 34.064 lhacm.acm
23.01.2007 10:03 263.024 FNTCACHE.DAT
22.01.2007 13:49 16.832 amcompat.tlb
22.01.2007 13:49 23.392 nscompat.tlb
22.01.2007 13:41 3.530 TZLog.log
22.01.2007 13:15 386 $winnt$.inf
22.01.2007 13:07 2.951 CONFIG.NT
22.01.2007 13:06 488 WindowsLogon.manifest

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8F6-55F3

Verzeichnis von C:\DOKUME~1\Carsten\LOKALE~1\Temp

11.03.2007 23:44 16.384 ~DF2EF1.tmp
11.03.2007 23:44 512 ~DF955E.tmp
11.03.2007 23:44 16.384 ~DF9553.tmp
11.03.2007 18:34 16.384 ~DFE49B.tmp
11.03.2007 18:34 16.384 ~DFCF12.tmp
5 Datei(en) 66.048 Bytes
0 Verzeichnis(se), 213.507.014.656 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8F6-55F3

Verzeichnis von C:\WINDOWS\Temp


«
Dieser Beitrag wurde am 11.03.2007 um 23:51 Uhr von Carlo2201 editiert.
Seitenanfang Seitenende
12.03.2007, 10:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich finde nichts mehr, die virenscanner scheinen schon alles gefunden/geloescht zu haben

wende das avengerscript an und starte den rechner neu
http://virus-protect.org/artikel/spyware/warezov3.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1