HTML/Dldr.Iframe.K Fund bei AntiVir

#1 Hallo, ich hab seit ein paar Tagen ständig folgenden Fund in Antivir, es handelt sich um den Code "HTML/Dldr.Iframe.K" .AntiVir findet ihn allen möglichen HTML Dateien, ich kann ja schlecht 200Dateien löschen (achja es funktioniert in Antivir nur Löschen/In Quarantäne verschieben, NICHT repariern o.ä.), daher würde ich mich freuen wenn ihr mir helfen könntet.
Zuerst mein System:

Win Vista/Xp parallel (er findet es unter beiden Systemen)
AMD Athlon Xp 3500+
3GB Ram
Geforce 6800GS

hier mal der HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:33:30, on 06.11.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
G:\Windows\system32\taskeng.exe
G:\Windows\system32\Dwm.exe
G:\Windows\Explorer.EXE
G:\Program Files\Windows Defender\MSASCui.exe
G:\Windows\System32\rundll32.exe
G:\Windows\System32\rundll32.exe
G:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
G:\Program Files\iTunes\iTunesHelper.exe
G:\Program Files\Windows Sidebar\sidebar.exe
G:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe
G:\Program Files\ICQ6\ICQ.exe
G:\Windows\System32\rundll32.exe
G:\Program Files\Windows Media Player\wmplayer.exe
G:\Program Files\Internet Explorer\iexplore.exe
G:\Windows\system32\conime.exe
G:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
g:\program files\avira\antivir personaledition classic\avscan.exe
G:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.fem.tu-ilmenau.de/noproxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - G:\Windows\inetloader.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE G:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] G:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [bone warn] "G:\ProgramData\bodyforkfork.e7npa45"
O4 - HKLM\..\Run: [Love default global mess] "G:\ProgramData\Help Save Amen.2d7s02"
O4 - HKLM\..\Run: [avgnt] "G:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "G:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] G:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Creative MediaSource Go] G:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [ICQ] "G:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [WinZix Service] G:\Program Files\WinZix\wakeservice.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - G:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - G:\Program Files\iPod\bin\iPodService.exe

--
End of file - 4797 bytes




Schonmal Danke im Voraus
mfg Lukas

#2 Hi,

zwei auffällige Sachen die ich nicht zuordnen kann:
4 - HKLM\..\Run: [bone warn] "G:\ProgramData\bodyforkfork.e7npa45"
O4 - HKLM\..\Run: [Love default global mess] "G:\ProgramData\Help Save Amen.2d7s02"

Bitte online prüfen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

G:\ProgramData\bodyforkfork.e7npa45
G:\ProgramData\Help Save Amen.2d7s02
G:\Program Files\WinZix\wakeservice.exe
G:\Windows\inetloader.dll

Poste das Ergebnis mit Filename...

chris

#3 Danke erstmal für die schnelle Antwort, hier die beiden Ergebnisse:

Zuerst G:\ProgramData\bodyforkfork.e7npa45 (diese Datei hb ich übrigens 3mal in diesem Ordner, jedesmal anderer Dateityp (B3KME, CS5NKU, E7NPA45)

Zitat

Complete scanning result of "bodyforkfork.e7npa45", processed in VirusTotal at 11/06/2007 21:08:02 (CET).

[ file data ]
* name: bodyforkfork.e7npa45
* size: 114704
* md5.: 275bd3d7e16ba48be14bc08fb329e0dd
* sha1: 74ed6a1d62e79ca603723cfc5a702b1216290761

[ scan result ]
AhnLab-V3 2007.11.7.0/20071106 found nothing
AntiVir 7.6.0.30/20071106 found nothing
Authentium 4.93.8/20071105 found nothing
Avast 4.7.1074.0/20071105 found nothing
AVG 7.5.0.503/20071106 found nothing
BitDefender 7.2/20071106 found nothing
CAT-QuickHeal 9.00/20071106 found nothing
ClamAV 0.91.2/20071106 found nothing
DrWeb 4.44.0.09170/20071106 found nothing
eSafe 7.0.15.0/20071028 found nothing
eTrust-Vet 31.2.5270/20071105 found nothing
Ewido 4.0/20071106 found nothing
F-Prot 4.4.2.54/20071106 found nothing
F-Secure 6.70.13030.0/20071106 found nothing
FileAdvisor 1/20071106 found nothing
Fortinet 3.11.0.0/20071019 found nothing
Ikarus T3.1.1.12/20071106 found nothing
Kaspersky 7.0.0.125/20071106 found nothing
McAfee 5157/20071106 found nothing
Microsoft 1.3007/20071106 found nothing
NOD32v2 2641/20071106 found nothing
Norman 5.80.02/20071106 found nothing
Panda 9.0.0.4/20071106 found nothing
Prevx1 V2/20071106 found nothing
Rising 20.17.12.00/20071106 found nothing
Sophos 4.23.0/20071106 found nothing
Sunbelt 2.2.907.0/20071102 found nothing
Symantec 10/20071106 found nothing
TheHacker 6.2.9.117/20071106 found nothing
VBA32 3.12.2.4/20071106 found nothing
VirusBuster 4.3.26:9/20071106 found nothing
Webwasher-Gateway 6.0.1/20071106 found nothing

----
und hier die 2.Datei G:\ProgramData\Help Save Amen.2d7s02

Zitat

Complete scanning result of "Help Save Amen.2d7s02", processed in VirusTotal at 11/06/2007 21:31:29 (CET).

[ file data ]
* name: Help Save Amen.2d7s02
* size: 69648
* md5.: e1bfefa5824dbbe02898e5d87ff62b5d
* sha1: 4788d97164918c3cf5279dbad5d2c10b9dbaa55b

[ scan result ]
AhnLab-V3 2007.11.7.0/20071106 found nothing
AntiVir 7.6.0.30/20071106 found nothing
Authentium 4.93.8/20071105 found nothing
Avast 4.7.1074.0/20071105 found nothing
AVG 7.5.0.503/20071106 found nothing
BitDefender 7.2/20071106 found nothing
CAT-QuickHeal 9.00/20071106 found nothing
ClamAV 0.91.2/20071106 found nothing
DrWeb 4.44.0.09170/20071106 found nothing
eSafe 7.0.15.0/20071028 found nothing
eTrust-Vet 31.2.5270/20071105 found nothing
Ewido 4.0/20071106 found nothing
F-Prot 4.4.2.54/20071106 found nothing
F-Secure 6.70.13030.0/20071106 found nothing
FileAdvisor 1/20071106 found nothing
Fortinet 3.11.0.0/20071019 found nothing
Ikarus T3.1.1.12/20071106 found nothing
Kaspersky 7.0.0.125/20071106 found nothing
McAfee 5157/20071106 found nothing
Microsoft 1.3007/20071106 found nothing
NOD32v2 2641/20071106 found nothing
Norman 5.80.02/20071106 found nothing
Panda 9.0.0.4/20071106 found nothing
Prevx1 V2/20071106 found nothing
Rising 20.17.12.00/20071106 found nothing
Sophos 4.23.0/20071106 found nothing
Sunbelt 2.2.907.0/20071102 found nothing
Symantec 10/20071106 found nothing
TheHacker 6.2.9.117/20071106 found nothing
VBA32 3.12.2.4/20071106 found nothing
VirusBuster 4.3.26:9/20071106 found nothing
Webwasher-Gateway 6.0.1/20071106 found nothing

So ich hoffe, das hilft dir weiter - auch wenn er scheinbar nichts gefunden hat. Sollte ich vllt. mal nen hijackthis-log unter win xp posten?

#4 Hi,

ja, arbeite mal unter XP das folgende ab:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Die Dateien sind mir nach wie vor suspekt...
Frage mal nach....
So, bitte packe die Dateien:
G:\ProgramData\bodyforkfork.e7npa45
G:\ProgramData\Help Save Amen.2d7s02
G:\Program Files\WinZix\wakeservice.exe
G:\Windows\inetloader.dll
in ein passwortgeschütztes ZIP und sende sie mit Angabe des Passwortes im Email an folgende Adresse:
virus@protecus.de

Chris