avir findet haxdoor.lj.1 trash.gen und eicar...

#1 hallo,

antivir sagt mir das ich folgende viren trojaner und backdoors habe, diese meldungen kommen bis zu 10 mal direkt nach einander.

haxdoor.lj.1
trash.gen
eicar test signatura

ComboFix 08-04-08.4 - xxx xxxxxxx 2008-04-08 22:28:58.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.777 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx xxxxxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\iesearch.dll
C:\WINDOWS\system32\ksl48.bin

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-08 bis 2008-04-08 ))))))))))))))))))))))))))))))
.

2008-04-08 22:27 . <DIR> C:\WINDOWS\LastGood.Tmp
2008-04-08 22:27 . 2007-06-27 14:42 207,488 -ra------ C:\WINDOWS\system32\drivers\vinyl97.sys
2008-04-08 22:27 . 2002-08-29 02:01 134,272 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-04-08 22:27 . 2002-08-29 02:01 134,272 --a------ C:\WINDOWS\system32\dllcache\portcls.sys
2008-04-08 22:27 . 2002-08-29 01:32 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-04-08 22:27 . 2002-08-29 01:32 57,856 --a------ C:\WINDOWS\system32\dllcache\drmk.sys
2008-04-08 21:22 . 2008-04-08 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\xxx xxxx\Anwendungsdaten\vlc
2008-04-08 21:19 . 2008-04-08 21:19 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-04-08 21:19 . 2008-03-19 18:26 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-08 21:19 . 2008-03-19 18:29 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-04-08 21:19 . 2008-04-08 21:19 0 --a------ C:\WINDOWS\mozver.dat
2008-04-08 20:48 . 2008-04-08 20:48 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-04 08:00 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-04-04 08:00 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-04-04 08:00 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-04-04 08:00 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2008-04-04 08:00 . 2004-08-03 14:05 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2008-04-04 08:00 . 2004-08-03 14:02 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2008-04-04 08:00 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-04-02 17:50 . 2008-04-02 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-03-19 15:41 . 2008-03-19 15:41 <DIR> d-------- C:\Programme\Avira
2008-03-19 15:41 . 2008-03-19 15:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-03-11 18:15 . 2006-03-15 09:35 17,664 -ra------ C:\WINDOWS\system32\drivers\AWISp50.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 02:43 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]
"SpybotSD TeaTimer"="D:\programme zu installieren\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-19 20:51 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 02:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\flashcft]
flashcft.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\explorer.exe"= C:\\WINDOWS\\Explorer.EXE

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 flashoma;USBFlashDrive OMA;C:\WINDOWS\System32\flashoma.sys [2007-11-29 20:40]
R3 nv3;nv3;C:\WINDOWS\System32\DRIVERS\nv3.sys [2001-08-17 12:50]

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-08 22:31:17
Windows 5.1.2600 Service Pack 1 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-08 22:31:58 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-08 20:31:56
11 Verzeichnis(se), 2,565,521,408 Bytes frei
13 Verzeichnis(se), 2,557,575,168 Bytes frei


hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:44:09, on 08.04.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\downloads\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\programme zu installieren\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\programme zu installieren\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\programme zu installieren\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\programme zu installieren\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

datfind log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00A-7B5E

Verzeichnis von C:\WINDOWS\system32

08.04.2008 21:05 768 d3d8caps.dat
08.04.2008 20:34 6 opnxp.bin
08.04.2008 10:12 2.206 wpa.dbl
30.03.2008 21:08 90.296 FNTCACHE.DAT
19.03.2008 18:29 348.160 msvcr71.dll
19.03.2008 18:26 499.712 msvcp71.dll
11.03.2008 19:05 48.354 perfc007.dat
11.03.2008 19:05 316.924 perfh007.dat
11.03.2008 19:05 40.128 perfc009.dat
11.03.2008 19:05 723.744 PerfStringBackup.INI
11.03.2008 19:05 311.740 perfh009.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00A-7B5E

Verzeichnis von C:\DOKUME~1\ROSASC~1\LOKALE~1\Temp

08.04.2008 22:46 86.947 datfind.txt
08.04.2008 22:43 16.384 ~DFC94D.tmp
2 Datei(en) 103.331 Bytes
0 Verzeichnis(se), 3.758.120.960 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00A-7B5E

Verzeichnis von C:\WINDOWS

08.04.2008 22:32 53.248 PSEXESVC.EXE
08.04.2008 22:31 0 0.log
08.04.2008 22:31 227 system.ini
08.04.2008 22:30 2.048 bootstat.dat
08.04.2008 22:30 993.848 WindowsUpdate.log
08.04.2008 22:30 32.626 SchedLgU.Txt
08.04.2008 22:27 6.319 setupapi.log
08.04.2008 21:19 0 mozver.dat
08.04.2008 20:48 0 nsreg.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00A-7B5E

Verzeichnis von C:\WINDOWS\temp

so das müsste alles gewesen sein,

wäre toll wenn ihr helfen könnt denn ich kriege das einfach nicht gelöst

#2 Hallo,

den haxdoor hat Combofix rausgeholt: ksl48.bin

««
Heuristik hoch stellen



««
scanne mit Antivirus + dann poste hier den kompletten scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#3 oh das heisst das der jetzt wieder sauber ist??

das wäre ja super, danke
sobald ich wieder an dem rechner sitze werde ich ihm nochmal scannen, kann dauern da ich erstmal unterwegs bin

#4 poste dann den report, wenn der scan beendet ist. am besten im abgesicherten Modus scannen
__________
MfG Sabina

rund um die PC-Sicherheit

#5 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 9. April 2008 14:56
in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Beginne mit der Suche in 'C:\'
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{2DF764C1-7629-4A64-ABD4-924B697A4946}\RP52\A0029314.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '482cc1ef.qua' verschoben!
Beginne mit der Suche in 'D:\' <DATEN>


Ende des Suchlaufs: Mittwoch, 9. April 2008 15:33
Benötigte Zeit: 36:37 min

Der Suchlauf wurde vollständig durchgeführt.

2832 Verzeichnisse wurden überprüft
106874 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
106873 Dateien ohne Befall
556 Archive wurden durchsucht
1 Warnungen
0 Hinweise

hatte vorher noch ein scan gemacht aber vergessen in abgesicherte modus zu gehen

hier auch noch mal der bericht




Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '17' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{2DF764C1-7629-4A64-ABD4-924B697A4946}\RP51\A0029188.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[INFO] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\catchme2008-04-08_223105.68.zip
[0] Archivtyp: ZIP
--> Dokumente und Einstellungen/rosa schilling/Desktop/catchme.zip
[1] Archivtyp: ZIP
--> flashcft.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.10.A
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\flashoma.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <DATEN>


Ende des Suchlaufs: Mittwoch, 9. April 2008 11:29
Benötigte Zeit: 14:28 min

Der Suchlauf wurde vollständig durchgeführt.

2775 Verzeichnisse wurden überprüft
106547 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
106544 Dateien ohne Befall
558 Archive wurden durchsucht
2 Warnungen
0 Hinweise

#6 Hallo,

''
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)



---------------------------------------------------------------------
''
lade von dieser Seite aus:

Sophos Anti-Rootkit
AVG Anti-Rootkit

http://virus-protect.org/artikel/tools/rootkithook.html

scanne + berichte, ob noch etwas rausgelöscht wurde...scanne am besten im abgesicherten Modus
__________
MfG Sabina

rund um die PC-Sicherheit

#7 entfernt wurde nichts sophos findet 4 unbekannte dateien namens luna, kann aber im abgesicherten modus memsweep.sys nicht ausführen wegen überlappender E/A vorgang, keine ahnung was das zu bedeuten hat.
sonst scheint alles rootkit frei zu sein, wenns das jetzt wäre bedanke ich mich schon mal herzlichst, wenn noch schritte zu unternehmen sind immer her damit

lg
klaus

#8 kann man den Report vom Sophos abkopieren ? Falls ja, her damit
__________
MfG Sabina

rund um die PC-Sicherheit

#9 nein geht leider nicht, habe den jetzt nochmal im nicht abgesichterten modus durchlaufen lassen, da schafft er das ohne fehlermeldung und findet weiterhin diese 4 einträge namens luna und dann zwei rechtecken dahinter, ein neuer scan mit antivir ergab nichts mehr und auch avg anti-rootkit fand nichts

#10 ««
Start - Ausführen - Kopiere rein: Combofix /U

- klicke "OK"

««
der luna-Eintrag müsste von einer Hardware-Komponenten stammen.
du kannst noch einen Scan mit F-secure/Onlinescan machen (Online) + berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 so alles gemachtcombofix deinstaliert und nochmal gescannt mit f-secure und alles ist ok danke vielmals für die tolle hilfe