Vermute Trojaner, Winupgro.exe, Zonealarm und HJthis nicht zu öffnen

#1 Hallo liebe Kommune!

Ich habe mir wohl etwas eingefangen.
Ich habe in meinem Taskmanager winupgro.exe gefunden, laut Google Recherche
ein Vundo Trojaner.
Problem, ich kann HJThis und Zonealarm nicht starten. Fehlermeldung mit dem Hinweis das es kein win32 ist erscheint.
Ausserdem öffnet sich beim Neustart ein Fenster das sich NTSB Blackbox nennt.

Im Moment lasse ich Malwarebytes durchlaufen. Ich hatte folgenden Link gefunden: http://www.xdelbox.com/how-to-remove-winupgro-or-winupgroexe/

Was soll ich machen, wie gehts weiter.
Bitte helft mir!
Besten DANK!!!!

#2 Scheint w32.Bagle zu sein
Poste mal das log von MBAM
__________
MfG Argus

#3 Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1649
Windows 5.1.2600 Service Pack 3

14.01.2009 14:07:07
mbam-log-2009-01-14 (14-07-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 220500
Laufzeit: 2 hour(s), 11 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Worm.Bagel) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sk9ou0s (Worm.Bagel) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Worm.Bagel) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\video activex solution (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Video ActiveX Access (Trojan.Zlob) -> No action taken.
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\System Volume Information\_restore{09C2C9FA-1216-47FF-8619-D1A8702FBB2A}\RP927\A0201914.sys (Worm.Bagel) -> No action taken.
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\srosa2.sys (Worm.Bagel) -> No action taken.
D:\My Shared Folder\PROGRAMME\CD-DVD\Nero 6\Keygen.exe (Trojan.Agent) -> No action taken.
D:\My Shared Folder\PROGRAMME\SYSTEM\Windows.Activation.Tools\Windows XP Keygenerator.exe (Trojan.Downloader) -> No action taken.
E:\Programme\Adobe Acrobat v8.0 Professional Multilanguage Keymaker Zwt\Adobe.Acrobat.v8.0.Professional.Multilanguage.Keymaker.ZWT.rar\zwt\keygen.exe (Backdoor.Bot) -> No action taken.
E:\von disk d\My Shared Folder\PROGRAMME\CD-DVD\Nero 6\Keygen.exe (Trojan.Agent) -> No action taken.
E:\von disk d\My Shared Folder\PROGRAMME\SYSTEM\Windows.Activation.Tools\Windows XP Keygenerator.exe (Trojan.Downloader) -> No action taken.
F:\Kopie DVD Sicherung\ArchiForma 2.01\ArchiForma 2.01_ (AC 9)_crk.exe (Trojan.Downloader) -> No action taken.
C:\Programme\Video ActiveX Access\uninst.exe (Trojan.Zlob) -> No action taken.
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\data.oct (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\list.oct (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\srvlist.oct (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\flec006.exe (Trojan.Agent) -> No action taken.

#4 Download FindyKill.exe zum Desktop(par Chiquitine29)
Nur fuer Windows XP und Vista
Doppklick FindyKill.exe
Klick im naechsten Fenter >”Suivant” und akzeptiere“Je suis d’accord avec les termes et conditions ci-dessus”klicke >”Suivant”
Setze FindyKill unter C:\Programme , klicke “Démarrer”
“FindyKill a été installé avec success” klick>Quitter”

Auf dein Desktop steht jetzt eine verknüpfung
Doppelklick und waehle im naechsten Fenster Option 1. “Recherche de fichiers infectieux” gib Enter

Am Ende erscheint ein Log C:\FindyKill.txt poste dessen inhalt in dein naechsten Antwort
__________
MfG Argus

#5 Winupgro musste ich über Tasmanager beenden da es den CPU auslasstet!!

----------------- FindyKill V4.711 ------------------

* User: Alexander - ALEXANDER
* Executed from : C:\Programme\FindyKill
* Update on 05/01/09 by Chiquitine29
* Start at 15:04:29 the 14.01.2009
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Searching *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\Programme\Saitek\Software\ProfilerU.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\taskmgr.exe

--------------- [ Infected files / folders ] ----------------


»»»» Presence Files in C:


»»»» Presence Files in C:\WINDOWS


»»»» Presence Files in C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\119203.EXE-369B5DA5.pf
Found ! - C:\WINDOWS\prefetch\131609.EXE-1528EF88.pf
Found ! - C:\WINDOWS\prefetch\143375.EXE-19B3F98E.pf
Found ! - C:\WINDOWS\prefetch\256187.EXE-002DEB5B.pf
Found ! - C:\WINDOWS\prefetch\298906.EXE-183408A3.pf
Found ! - C:\WINDOWS\prefetch\89843.EXE-16B6F77D.pf
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-21E67F1E.pf
Found ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf
Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-101AF362.pf
Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-01AEA88A.pf
Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-023B14FD.pf
Found ! - C:\WINDOWS\Prefetch\SERIAL.EXE-281BC7CB.pf
Found ! - C:\WINDOWS\Prefetch\IKEYMAIN.EXE-36D3F532.pf
Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-01AEA88A.pf
Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-023B14FD.pf

»»»» Presence Files in C:\WINDOWS\system32

Found ! [14.01.2009 15:00] - C:\WINDOWS\system32\mdelk.exe
Found ! [14.01.2009 15:00] - C:\WINDOWS\system32\wintems.exe
Found ! [14.01.2009 15:01] - C:\WINDOWS\system32\ban_list.txt

»»»» Presence Files in C:\WINDOWS\system32\drivers


»»»» Presence Files in C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten

Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\flec006.exe"
Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\list.oct"
Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\data.oct"
Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\srvlist.oct"
Found ! [14.01.2009 15:02] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\shared"
Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m"
Found ! [14.01.2009 14:15] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers"
Found ! [14.01.2009 15:00] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\srosa.sys"
Found ! [14.01.2009 15:00] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\srosa2.sys"
Found ! [02.10.2006 02:09] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\winupgro.exe"
Found ! [14.01.2009 15:01] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\downld"

»»»» Presence Files in C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp


»»»» Presence Files in C:\Dokumente und Einstellungen\Alexander\Local Settings\Temporary Internet Files\Content.IE5

Found ! [26.07.2006 18:55] - C:\files.txt
Found ! [30.11.2007 00:22] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\files.spieler-daten.de\dummy.txt
Found ! [02.07.2006 19:47] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\summer69.gaming.multiplay.co.uk\files\videos\dummy.txt
Found ! [18.05.2008 13:18] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.bilder-hochladen.net\files\dummy.txt
Found ! [08.05.2006 21:29] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.clanblitz.com\bf2\div\files\files\dummy.txt
Found ! [07.02.2007 23:53] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.eliott-ness.org\files\dummy.txt
Found ! [02.07.2006 19:20] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.filelodge.com\files\hdd2\34389\dummy.txt
Found ! [30.07.2006 16:42] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.ger-clan.com\files\dummy.txt
Found ! [05.11.2008 15:40] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.thegamemonsters.com\files\Banners\dummy.txt
Found ! [18.12.2008 16:51] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.uploadagent.de\files\1218035160\dummy.txt

--------------- [ Registry / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
RSD_HDDThermo=C:\Programme\HDD Thermometer\HDD Thermometer.exe
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
NVIDIA nTune="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
Skype="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
H/PC Connection Agent="C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
Uniblue RegistryBooster 2009=C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\Disabled=
Start WingMan Profiler=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTSysVol=C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
AudioDrvEmulator="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
SunJavaUpdateSched="C:\Programme\Java\jre6\bin\jusched.exe"
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
iKeyWorks=C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
Profiler=C:\Programme\Saitek\Software\ProfilerU.exe
SaiMfd=C:\Programme\Saitek\Software\SaiMfd.exe
CTHelper=CTHELPER.EXE
CTxfiHlp=CTXFIHLP.EXE
snpstd3=C:\WINDOWS\vsnpstd3.exe
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
Adobe Reader Speed Launcher="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
Acrobat Assistant 8.0="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\Disabled=
CloneCDTray="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
QuickTime Task="C:\Programme\QuickTime\qttask.exe" -atboottime
TotalRecorderScheduler="C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
snpstd3=C:\WINDOWS\vsnpstd3.exe
FreePDF Assistant=C:\Programme\FreePDF_XP\fpassist.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\HDD Thermometer]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Personal Navigation Assistant]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\serial]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registry / Infected keys ] ----------------


Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\MuleAppData
Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\Ubisoft
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

--------------- [ States / Services ] ----------------

Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

/!\ Safe boot mode not available !!

Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

/!\ Safe boot mode not available !!

Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

/!\ Safe boot mode not available !!



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

/!\ Ndisuio - Type of startup = 4

EapHost - Type of startup = 3

/!\ Ip6Fw - Type of startup = 4

/!\ SharedAccess - Type of startup = 4

/!\ wuauserv - Type of startup = 4

/!\ wscsvc - Type of startup = 4


--------------- [ Searching in removable drives ] ----------------


+- Informations :

C: - Eingebautes Laufwerk

D: - Eingebautes Laufwerk

E: - Eingebautes Laufwerk

F: - Eingebautes Laufwerk


+- Presence of files :



--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


------------------- ! End of report ! --------------------

#6 Starte FindyKill noch einmal und wähle:
Option 2. Suppression des fichiere Infectieux gib Enter

Am Ende erscheint ein Log C:\FindyKill.txt poste dessen inhalt in dein naechsten Antwort

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#7 Hallo Argus,

ich habe mich entschlossen XP neu aufzusetzen. Zuletzt hatte ich das vor 4 oder 5 Jahren gemacht. so lange hats durchgehalten, war aber auch schon sehr langsam.
Frage, mein Antivir erkennt dein Findykill als Trojaner. Wie kommt das?
Auch verschieden Keygens werden plötzlich als Trojaner und Worms erkannt.
Sind das wirklich Trojaner und Viren oder ist Antivir nur zu zimperlich?
Zonealarm hat den keygen auch blockiert.

Kann ich das ignorieren oder wie soll ich verfahren?

Besten Dank!!!!

#8 1. das ist ein ehlalarm...
2. keygens etc werden nicht um sonst als viren erkannt... es sind meist auch welche...
außerdem sind sie illegal und man sollte sein windows nicht mit nem keygen aktiviren... es gibt für die meiste bezahlsoftware auch gute alternativen die kostenlos sind... prüfe deine keygens das nächste mal auf virus total...

#9 Hallo Finder,

dank für die Info. Hätte mich auch gewundert wenn Argus mir einen Trojaner geschickt hätte. ;-)

Mein Win XP ist original, keine Sorge. Aber nenn mir mal kostenlose Alternativen zu Adobe Acrobat Prof und Photoshop?

Wenn du welche hast, gerne her damit!

Ansonsten benutze ich auch Open Source Produkte. Die funzen gut!!! :-)

#10 Es werden scripts benutzt die durch Virenscanner als Virus angezeigt werden

Zitat

mein Antivir erkennt dein Findykill als Trojaner

Wenn du noch nicht neu aufgesetzt hast versuche mal Combofix
Denke daran dein Virenscanner zu deaktivieren
http://board.protecus.de/t23188.htm
__________
MfG Argus

#11 Hallo,
bin hier neu und hatte das selbe Problem, nach anklicken einer komischen exe datei ka von wo und wie die hies hab die da gleich geschredert.
(Gkaube die .exe kann bei jedem anders aussehen/heissen).
Aber sonst wahr oder ist der Ursprung der winupgro.exe ein Crack/Path für das Programm für die Flugschreiber von Flugzeugen NTSB Blackbox gedacht gewesen.
Infos sind nicht 100% also nicht auf mich los gehen wenn was nicht so ganz stimmt bin kein Pilot ;-)
Also hatte ich danach das spielchen mit Avast..und vielem mehr.. alles hat sich wie von selbst gesteuert,
also habe ich gegoogelt und weis oder denke es zumindestens zu wissen das dass kein Trojaner ist sondern ledeglich das Programm sich in die Registry eintägt und dort irgend welche mir unbekannten Sachen einstellt.
Wodurch dannn ja nichts mehr richtig funktioniert,meine Lösung wahr, ich habe die Registry erst mal nach der winupgro.exe durchsucht,wer suchet der findet auch, also habe ich genauer hin geschaut,

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"AtiTrayTools"="\"C:\\Program Files (x86)\\Ray Adams\\ATI Tray Tools\\atitray.exe\""
"Taskbar Hide"=";C:\\PROGRA~2\\TASKBA~1\\TaskBar.exe -Start"
"Taskbar Manager"="C:\\Program Files (x86)\\#####\\Taskbar Manager\\TaskbarManager.exe"
"drvsyskit"="C:\\Documents and Settings\\Administrator\\Application Data\\drivers\\winupgro.exe"
"GizmoDriveDelegate"="RUNDLL32.EXE C:\\PROGRA~2\\GIZMO\\GDRIVE.DLL,Remount_Startup_Images"

und das habe ich gefunden,also habe ich das entfernt und nach denen restlichen winupgro.exe gesucht und entfernt,natürlich auch mal die komplette Platte nach der winupgro.exe durchsuchen und entfernen aber nur alle die den namen winupgro.exe haben weil in den Unterordner die normalen Driver/Treiber sind also Vorischt!!Neu starten und das wars schon,hoff ich hab nix vergessen.
Übrigens Gute Seite,hab mich nur erstma angemeldet wegen dem ungelösten Problem hier, oder seh ich das falsch und es wahr schon gelöst?

MfG
CPMA-Quaker

#12 Hallo Quqax

Um sicher zu gehen dass alles weg ist, was ich bezweifle, da Du nur in der Registry gelöscht hast, mache folgendes:

>>
Lösche die temp Dateien mit CCleaner

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Erstelle ein HiJACKThis Log und poste es hier:
http://virus-protect.org/hjtkurz.html

Gruss Swiss

#13 Ist ein 64Bit Processor
mit Win XP Pro 64Bit,hier meine log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:09, on 19.02.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.1830)
Boot mode: Normal

Running processes:
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\Program Files (x86)\Gizmo\gservice.exe
C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files (x86)\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Launcher\Launcher.exe
C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files (x86)\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.xxx.xxx.xxx:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files

(x86)\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Program Files

(x86)\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files (x86)\FlashGet\jccatch.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-.........A} -

C:\Program Files (x86)\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: GetRight IE Helper - {31FF080D-12A3-439A-A2EF-........} - C:\Program Files (x86)\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-.........} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-.......} - C:\PROGRA~2\DOWNLO~1\dmiehlp.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-....} - C:\Program Files (x86)\FlashGet\getflash.dll
O3 - Toolbar: &Linkman - {5C9DCA26-CEC4-4280-A831-...........} - C:\PROGRA~2\Linkman\LINKMA~1.DLL
O4 - HKLM\..\Run: [nTrayFw] "C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with GetRight - C:\Program Files (x86)\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files (x86)\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-........} - C:\Program Files

(x86)\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-..........} - C:\Program Files

(x86)\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-.......} - C:\Program Files (x86)\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files

(x86)\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-.........2} - C:\WINDOWS\SysWOW64\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-...............} - C:\WINDOWS\SysWOW64\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-............} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-.........} - C:\Program

Files\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://runonce.msn.com
O16 - DPF: {6414512B-B978-451D-A0D8-.........} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232763648640
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E093948-68F4-4EF3-B1E3-.........}: NameServer = 62.xxx.xxx.6 213.xxx.92.xx
O18 - Protocol: bw+0 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {3C0E0F28-529E-4A72-965E-..................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {3C0E0F28-529E-4A72-965E-.................A} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {3C0E0F28-529E-4A72-965E-..........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {3C0E0F28-529E-4A72-965E-..................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {3C0E0F28-529E-4A72-965E-.................} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {3C0E0F28-529E-4A72-965E-........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop

Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-........} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files (x86)\Common

Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner -

C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files (x86)\NVIDIA

Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files

(x86)\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Gizmo Central - Arainia Solutions - C:\Program Files (x86)\Gizmo\gservice.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file

missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files (x86)\NVIDIA

Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files (x86)\NVIDIA

Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file

missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - Unknown owner -

C:\WINDOWS\System32\TuneUpDefragService.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file

missing)

--
End of file - 21929 bytes





Malwarebytes' Anti-Malware 1.34
Database version: 1778
Windows 5.2.3790 Service Pack 2

19.02.2009 12:12:28
mbam-log-2009-02-19 (12-12-28).txt

Scan type: Quick Scan
Objects scanned: 60944
Time elapsed: 3 minute(s), 58 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
:-)
MFG QuQaX

#14 Hallo Malwarebuster!

Das Problem ist zwar schon paar Tage alt, aber immer noch aktuell!

Vor 2 tagen hab ich mir ebenfalls Srosa2 eingefangen!
Die Indizien sind.... Der PC macht während der Installation dieser Wanze einen ungewollten Neustart... anschließend funktioniert keine Sicherheitssoftware mehr.... ZoneAlarm ist zerstört, Avast startet nicht mehr und behauptet nach einer erneuten installation keine zulässige win32 Anwendung zu sein, SpywareDoctor ist eingefroren und muss später auch neu aufgesetzt werden.. Kein Start im abgesicherten Modus mehr möglich..

Anhand einer Suche nach dem timestamp werdet ihr in Dokumente und Einstellungen unter dem vor der Katastrophe benutzen Namen in Anwendungsdaten einen neuen Ordner "Drivers" finden

C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\srosa.sys"
"C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\srosa2.sys"
"C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\winupgro.exe"
"C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\downld"

der, auch wenn es euch gelingt, sie mit einer anderen intakten Windowsinstallation oder RettungsCD zu löschen, beim ersten Neustart der befallenen Platte wieder da ist...

Also die Theorie... die Mutter dieser Wanze ist nicht direkt auf der Platte, sondern im Masterbootrecord installiert worden, was auch den spontanen Neustart nach dem Entpacken erklärt der keinen Scanner Zeit zum reagieren gegeben hat!

Also hab ich meine 2.Platte abgeklemmt und dann FixMBR mit der Wiederherstellungskonsole auf der Windows CD durchgeführt...

Den Partitionen ist dabei nichts passiert..

Avast ließ sich wieder Installieren und hat auch grad beim Scann die oA Infektionen durch Srosa angezeigt.. Enfernung war aber nicht vollständig möglich... dazu kam noch eine Infektion in der "Hyperfile.sys" die Avast aber löschen konnte ...
also.. booten von der 2.platte und von dort aus scannen...

116 Infektionen !!! davon 92 Beagle Downloader!!! die müssen vorher alle noch unter einer Tarnkappe gewesen sein...

Ich hoffe es hilft evtl. weiter....

Eine Frage hab ich noch... Weis jemand ob die Partitionen noch OK sind wenn ich den MBR mit S0Kill lösche, überschreibe und danach Fixmbr durchführe?... bisher hab ich s0kill nur verwendet bei platten die sowiso neu aufzusetzen waren.


Ciao... wisper