Viren fund Trojan Horse Generic

#1 Hallo ich weis nicht ob das so richtig ist aber mein Virenscanner schlägt seit tagen alarm wie verückt.

Wenn ich ihm glaube dann wären über 700 dateien in meinm rechner verseucht nur mit diesem Trojan Horse Generic .. . diesen konnte ich aber in keiner viren liste im netz finden.

Seltsamer weise schlägt er aber völlig wilkürlich an bei dateien die schon sehr alt sind oder auch bei origninal spielen wie Anno1701 feuert er mir die exe einfach weg.

Rar/zip und andere archive haben laut Avg Free immer diesen trojaner embedet ob ich diese geladen, von freunden oder selbst erstellt hab nach einer gewissen zeit fängt er an zu maulen.


Ich hab auch mal ein HJT laufen lassen kenn mich damit aber nicht aus.

Logfile of HijackThis v1.99.1
Scan saved at 10:36:18, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\vVX1000.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Grisoft\AVG Free\avgcc.exe
C:\Dokumente und Einstellungen\Tikkar\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Wie sieht das den nun aus ? kann mir da mal einer sagen was da los ist mitmeinem scanner ? weil so kann ich den nicht weiter verwenden.


MFg Tikkar

#2 Hallo Tikkar

«
wende sdfix im abgesichrten modus an - scane und poste dann hier den Report
http://www.virus-protect.org/artikel/tools/sdfix.html

«
im Normalmodus: wende combofix an + poste den Report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 so Combofix hab ich mal laufenlassen hier mal das logfile.

ComboFix 08-01-09.2 - Tikkar 2008-01-08 22:49:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.494 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tikkar\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
[color=purple]The following files were disabled during the run:[/color]
C:\Programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll


((((((((((((((((((((((( Dateien erstellt von 2007-12-09 bis 2008-01-09 ))))))))))))))))))))))))))))))
.

2008-01-08 22:49 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 08:40 . 2008-01-03 08:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-03 08:40 . 2008-01-03 08:40 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-31 19:18 . 2007-12-31 19:18 <DIR> d-------- C:\Programme\Winamp
2007-12-31 17:13 . 2007-10-29 18:02 706,512 -ra------ C:\WINDOWS\system32\drivers\cfosspeed.sys
2007-12-31 17:12 . 2008-01-09 22:52 <DIR> d-------- C:\Programme\cFosSpeed
2007-12-31 17:12 . 2007-10-29 18:02 281,552 --a------ C:\WINDOWS\system32\cfosspeed.dll
2007-12-29 23:46 . 2007-12-31 19:10 427 --a------ C:\WINDOWS\system32\QuickTimeFavorites.qtr
2007-12-28 03:36 . 2007-12-28 03:36 28,672 --a------ C:\WINDOWS\system32\qttask.exe
2007-12-28 03:34 . 2007-12-28 03:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2007-12-28 03:34 . 2000-01-04 23:20 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2007-12-28 03:34 . 2008-01-01 08:45 8,948 --a------ C:\WINDOWS\system32\QuickTime.qtp
2007-12-19 23:51 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-12-19 23:51 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2007-12-19 23:51 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-12-19 23:51 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 21:52 --------- d-----w C:\Programme\TuneUp Utilities 2006
2008-01-08 21:47 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-08 09:17 --------- d-----w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\AVG7
2008-01-08 07:25 38,904 ----a-w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-08 06:56 --------- d-----w C:\Programme\mIRC
2008-01-03 07:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-01 07:48 --------- d-----w C:\Programme\Combined Community Codec Pack
2008-01-01 06:18 --------- d-----w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\Winamp
2008-01-01 04:14 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2007-12-24 20:13 --------- d-----w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\Hamachi
2007-12-19 22:51 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2007-12-19 00:06 94,080 ----a-w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\ezplay.sys
2007-12-19 00:06 81,920 ----a-w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\ezpinst.exe
2007-12-19 00:06 47,360 ----a-w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\pcouffin.sys
2007-12-19 00:06 --------- d-----w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\Vso
2007-12-13 17:55 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-08 19:57 22,328 ----a-w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\PnkBstrK.sys
2007-12-08 19:38 --------- d-----w C:\Programme\DAEMON Tools
2007-12-08 19:33 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-08 19:32 94,080 ----a-w C:\WINDOWS\system32\drivers\ezplay.sys
2007-12-08 19:32 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2007-12-08 11:07 --------- d-----w C:\Programme\Yahoo!
2007-12-07 16:11 --------- d-----w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\Media Player Classic
2007-11-11 01:53 --------- d-----w C:\Programme\Windows Media Connect 2
2007-11-10 18:27 --------- d-----w C:\Dokumente und Einstellungen\Tikkar\Anwendungsdaten\vlc
2007-11-10 18:26 --------- d-----w C:\Programme\VideoLAN
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative MediaSource Go"="C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" [2006-11-09 09:19 204800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 16:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 12:26 7700480]
"nwiz"="nwiz.exe" [2007-04-19 12:26 1626112 C:\WINDOWS\system32\nwiz.exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-12-21 08:35 579072]
"VX1000"="C:\WINDOWS\vVX1000.exe" [2006-10-13 16:04 707376]
"NvMediaCenter"="NvMCTray.dll" [2007-04-19 12:26 86016 C:\WINDOWS\system32\nvmctray.dll]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"CTSysVol"="C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 09:51 57344]
"cFosSpeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2007-10-29 18:02 850896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-25 07:38 219136]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 0 (0x0)

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 16:31]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2007-08-31 18:33]
R2 MSCamSvc;MSCamSvc;"C:\Programme\Microsoft LifeCam\MSCamS32.exe" [2006-10-13 16:01]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 19:36]
R3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2006-10-13 16:04]
S3 moufiltr; Laser Mouse;C:\WINDOWS\system32\DRIVERS\moufiltr.sys [2007-07-25 11:11]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-09 22:52:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\Programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

PROCESS: C:\WINDOWS\system32\csrss.exe
-> C:\Programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
.
Zeit der Fertigstellung: 2008-01-09 22:53:42 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-09 21:53:40
.
2007-08-01 17:43:19 --- E O F ---


sdfix werde ich machen sobald ich dafür mehr zeit habe im absgesicherten modus ist mein rechner doch arg langsam und ich geh davon aus das es nicht unter einer halben stunde dauern wird

#4 sdfix ist, wie der name schon sagt: relativ fix
poste das log, wenn du es hast.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 jop werd ich machen sobald ich mehr zeit hab ^^ wie gesagt es läuft ja im abgesichert modus .. . da ist allein die bootzeit schon jenseits von gut und böse -_- sollte vieleicht aus performance gründen win schon neu installieren das würd wohl einiges verbessern.


So hier wie versprochen das catchme log vom Sdfix aber ehrlich gesagt Fix ist für mich anders .. naja vieleicht liegts auch an der enormen HD kappa 1,5 TB sind nicht leich zu scannen und schon gar nicht im abgesicherten modus.

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 16:41:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:59,cf,f8,79,f9,b2,de,d9,c1,54,25,34,06,09,cf,f5,55,27,48,f8,80,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0a,35,02,ac,93,b9,1e,dc,1e,66,f4,e2,fa,bf,ec,08,2c,..
"khjeh"=hex:5f,b1,c6,b6,46,e1,89,2b,91,14,bc,f2,f8,21,42,76,65,90,2e,b8,5d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e6,15,90,a9,ad,ed,98,78,60,07,3d,af,10,5d,e3,1c,3d,01,f1,1d,61,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:59,cf,f8,79,f9,b2,de,d9,c1,54,25,34,06,09,cf,f5,55,27,48,f8,80,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0a,35,02,ac,93,b9,1e,dc,1e,66,f4,e2,fa,bf,ec,08,2c,..
"khjeh"=hex:5f,b1,c6,b6,46,e1,89,2b,91,14,bc,f2,f8,21,42,76,65,90,2e,b8,5d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e6,15,90,a9,ad,ed,98,78,60,07,3d,af,10,5d,e3,1c,3d,01,f1,1d,61,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="BB1018634[....]3"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

#6 also: nichts zu sehen von Trojaner ... scanne mal, wenn du Zeit hast, mit deinem Grisoft und kopiere hier den scanreport
oder, wenn es nicht so viel Mühe macht, wie du schon angedeutet hast, formatiere gleich...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 hm dacht ich mir das eigentlich alles sauber ist. Falls jemand ein ähnliches problem hat kann er mir ja sagen was es mit diesem Trojan Horse Generic5.NTB oder dem Trojan Horse Generic9.ZOB auf sich hat.


MFG Tikkar

PS.ich kann diese beiden Trojaner in keiner Virusdatabase finden ich schätze mal das es von Grisoft erfundene namen sind das würde aber mein verdacht nur erhärten das software hersteller mittels vierenscanner raubkopien aller art aus dem verkehr ziehen wollen.