Home » Viren, Trojaner & Malware Forum » Virus/Spyware Dloadr-BGU / Agnet-HBT / Behav-191 gefunden » Themenansicht

Virus/Spyware Dloadr-BGU / Agnet-HBT / Behav-191 gefunden
#0
15.02.2009, 15:58
isabella19
Member

Beiträge: 32
#1 Hallo zusammen,

mein Virenscanner Spohos Anti-Vir hat mir folgende Viren/spayware gefunden.

Troj/Dloadr-BGU
Troj/Agent-HBT
Mal/Behav-191

Bitte um Hilfe.

Liebe Grüße
Isabella
Dieser Beitrag wurde am 15.02.2009 um 16:17 Uhr von isabella19 editiert.
Seitenanfang Seitenende
15.02.2009, 16:21
virenfinder
Member

Beiträge: 3716
#2 hallo Isabella!
Arbeite bitte ab:
http://board.protecus.de/t23188.htm
poste die geforderten INfos.
Gruß
Markus
Seitenanfang Seitenende
15.02.2009, 17:19
isabella19
Member

Themenstarter

Beiträge: 32
#3 Hallo Markus,

hier die logs:

Malwarebytes:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1763
Windows 5.1.2600 Service Pack 2

15.02.2009 17:15:43
mbam-log-2009-02-15 (17-15-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 64709
Laufzeit: 16 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Combofix:
ComboFix 08-12-20.05 - Administrator 2009-02-15 16:34:53.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2038.1483 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows.0\system32\drivers\str.sys

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-15 bis 2009-02-15 ))))))))))))))))))))))))))))))
.

2009-02-12 20:43 . 2009-02-12 20:43 64,128 --a------ c:\windows.0\system32\drivers\pmxqgyokiumbpem.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 09:19 38,496 ----a-w c:\windows.0\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows.0\system32\drivers\mbam.sys
2009-02-10 19:30 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Orbit
2008-12-21 14:53 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2008-12-21 14:53 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2001-11-29 12:29 229,376 ----a-w c:\windows.0\inf\i386\viceo.dll
2001-11-29 12:28 61,440 ----a-w c:\windows.0\inf\i386\gl.dll
2001-11-29 12:28 32,768 ----a-w c:\windows.0\inf\i386\Pmicro.dll
1601-01-01 00:00 0 ------w c:\programme\Gemeinsame Dateien\
1601-01-01 00:00 0 ------w c:\programme\
.

((((((((((((((((((((((((((((( snapshot@2008-12-21_16.25.38.95 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-21 14:39:43 25,214 ----a-r c:\windows.0\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\ARPPRODUCTICON.exe
+ 2009-01-28 16:51:25 25,214 ----a-r c:\windows.0\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\ARPPRODUCTICON.exe
- 2008-12-21 14:39:43 25,214 ----a-r c:\windows.0\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\MainGUIShortcut.exe
+ 2009-01-28 16:51:25 25,214 ----a-r c:\windows.0\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\MainGUIShortcut.exe
- 2008-11-30 16:25:51 65,536 ----a-r c:\windows.0\Installer\{15C418EB-7675-42be-B2B3-281952DA014D}\ARPPRODUCTICON.exe
+ 2009-01-28 16:51:51 65,536 ----a-r c:\windows.0\Installer\{15C418EB-7675-42be-B2B3-281952DA014D}\ARPPRODUCTICON.exe
+ 2009-02-15 13:53:03 16,384 ----a-w c:\windows.0\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-15 13:53:03 32,768 ----a-w c:\windows.0\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-15 13:53:03 16,384 ----a-w c:\windows.0\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-11-01 13:13:28 75,194 ----a-w c:\windows.0\system32\perfc007.dat
+ 2008-12-21 15:29:14 75,194 ----a-w c:\windows.0\system32\perfc007.dat
- 2008-11-01 13:13:28 62,480 ----a-w c:\windows.0\system32\perfc009.dat
+ 2008-12-21 15:29:14 62,480 ----a-w c:\windows.0\system32\perfc009.dat
- 2008-11-01 13:13:28 415,800 ----a-w c:\windows.0\system32\perfh007.dat
+ 2008-12-21 15:29:14 415,800 ----a-w c:\windows.0\system32\perfh007.dat
- 2008-11-01 13:13:28 401,200 ----a-w c:\windows.0\system32\perfh009.dat
+ 2008-12-21 15:29:14 401,200 ----a-w c:\windows.0\system32\perfh009.dat
+ 2005-03-01 10:27:04 245,408 ----a-w c:\windows.0\system32\unicows.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nuwsb"="c:\windows.0\??crosoft\??ool32.exe" [?]
"CTFMON.EXE"="c:\windows.0\system32\ctfmon.exe" [2004-11-11 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-11 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows.0\system32\igfxtray.exe" [2006-10-06 98304]
"HotKeysCmds"="c:\windows.0\system32\hkcmd.exe" [2006-10-06 114688]
"Persistence"="c:\windows.0\system32\igfxpers.exe" [2006-10-06 94208]
"BtcMaestro"="c:\kmaestro\KMaestro.exe" [2004-04-08 237568]
"NeroFilterCheck"="c:\windows.0\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows.0\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 c:\windows.0\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2004-11-11 15360]

c:\dokumente und einstellungen\All Users.WINDOWS.0\Startmen\Programme\Autostart\
AutoUpdate Monitor.lnk - c:\programme\Sophos\AutoUpdate\ALMon.exe [2009-01-28 245760]
NETGEAR WG111v2 Smart Wizard.lnk - c:\programme\NETGEAR\WG111v2\WG111v2.exe [2006-07-30 1101824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~3\Sophos\SOPHOS~1\SOPHOS~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"vidc.I263"= i263_32.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uSearch Page = hxxp://www.google.com
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: &Download by Orbit - c:\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - c:\programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
TCP: {85EF6602-58BA-4182-8ADE-45E2EB4E6FC5} = 192.168.1.1
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 16:39:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qumovuypp]
"ImagePath"="\??\c:\windows.0\system32\drivers\pmxqgyokiumbpem.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows.0\system32\sfc_os.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Sophos\Sophos Anti-Virus\SavService.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\program files\Sophos\AutoUpdate\ALsvc.exe
c:\windows.0\system32\wdfmgr.exe
c:\program files\QuickTime\QTTask.exe
c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
c:\program files\Sophos\AutoUpdate\ALMon.exe
c:\program files\NETGEAR\WG111v2\WG111v2.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-15 16:40:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-15 15:40:53
ComboFix2.txt 2008-12-21 15:26:20

Vor Suchlauf: 38 Verzeichnis(se), 222.224.830.464 Bytes frei
Nach Suchlauf: 38 Verzeichnis(se), 222,523,240,448 Bytes frei

144


Hijackthis-Logfiles:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:45, on 15.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\hkcmd.exe
C:\WINDOWS.0\system32\igfxpers.exe
C:\WINDOWS.0\RTHDCPL.EXE
C:\KMaestro\KMaestro.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\WINDOWS.0\explorer.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.0\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS.0\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BtcMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Nuwsb] C:\WINDOWS.0\??crosoft\??ool32.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85EF6602-58BA-4182-8ADE-45E2EB4E6FC5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 5821 bytes


Uninstall Liste:
Sansa Media Converter
Access 97rt PAN EURO G
Adobe AIR
Adobe Media Player
Adobe Media Player
Adobe Photoshop 7.0
Adobe Reader 8.1.2 - Deutsch
Apple Mobile Device Support
BearShare
Bonjour
CCleaner (remove only)
Google Earth
Google Toolbar for Internet Explorer
Half-Life
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
iTunes
KeyMaestro Input Device Driver V2.0.U-123AC MUL
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (2.0.0.17)
Nero Suite
NETGEAR WG111v2 wireless USB 2.0 adapter
OneTouch V3.0
Orbit Downloader
PacketVideo pvAuthor SDK
PacketVideo Recorder
POD-Bot 2.5
QuickTime
REALTEK GbE & FE Ethernet PCI NIC Driver
Realtek High Definition Audio Driver
Sierra Utilities
SimCity 3000 Deutschland
Sophos Anti-Virus
Sophos AutoUpdate
Total Video Converter 3.11
Update Service
WinRAR
Seitenanfang Seitenende
15.02.2009, 17:26
virenfinder
Member

Beiträge: 3716
#4 hallo Isabelle ;-)
Besuche folgende seite:
http://www.virustotal.com/en/indexf.html
dort folgendes reinkopieren:
c:\windows.0\system32\drivers\pmxqgyokiumbpem.sys
auf abschicken drücken. warten bis status beendet steht und das ergebniss posten.
Seitenanfang Seitenende
15.02.2009, 17:34
isabella19
Member

Themenstarter

Beiträge: 32
#5 ich hoffe du wolltest diese infos?!

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.15 -
AhnLab-V3 5.0.0.2 2009.02.15 -
AntiVir 7.9.0.79 2009.02.15 TR/Rootkit.Gen
Authentium 5.1.0.4 2009.02.14 -
Avast 4.8.1335.0 2009.02.15 Win32:Rootkit-gen
AVG 8.0.0.237 2009.02.14 -
BitDefender 7.2 2009.02.15 -
CAT-QuickHeal 10.00 2009.02.13 -
ClamAV 0.94.1 2009.02.15 -
Comodo 978 2009.02.15 -
DrWeb 4.44.0.09170 2009.02.15 Trojan.NtRootKit.2632
eSafe 7.0.17.0 2009.02.15 Win32.TRRootkit
eTrust-Vet 31.6.6358 2009.02.14 -
F-Prot 4.4.4.56 2009.02.13 -
F-Secure 8.0.14470.0 2009.02.15 -
Fortinet 3.117.0.0 2009.02.15 -
GData 19 2009.02.15 Win32:Rootkit-gen
Ikarus T3.1.1.45.0 2009.02.15 -
K7AntiVirus 7.10.630 2009.02.14 -
Kaspersky 7.0.0.125 2009.02.15 -
McAfee 5527 2009.02.15 -
McAfee+Artemis 5526 2009.02.14 -
Microsoft 1.4306 2009.02.15 -
NOD32 3853 2009.02.14 -
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.15 -
Panda 10.0.0.10 2009.02.15 Suspicious file
PCTools 4.4.2.0 2009.02.15 -
Prevx1 V2 2009.02.15 -
Rising 21.16.62.00 2009.02.15 -
SecureWeb-Gateway 6.7.6 2009.02.15 Trojan.Rootkit.Gen
Sophos 4.38.0 2009.02.15 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.15 -
TheHacker 6.3.2.1.257 2009.02.15 -
TrendMicro 8.700.0.1004 2009.02.15 -
VBA32 3.12.8.12 2009.02.15 -
ViRobot 2009.2.14.1607 2009.02.15 -
VirusBuster 4.5.11.0 2009.02.15 -
weitere Informationen
File size: 64128 bytes
MD5...: ad45d79503e73cf9c8ffdcd493748fee
SHA1..: 93ef0162fc24ead468bab005be78d7398f1ee1b8
SHA256: 9134576ae0ebd7b5f37075cdf0b92dcf1fcc770cb7363c5ab28d4ec1d282ad99
SHA512: 66e87029f77bd7acc6f45a33affb6dc24dda85cbc2ad6d2bbf3016d1488d319d
b299049fd6e84bb0a3f579b3e15c908d2939208d4964143360f450bdee7194ed

ssdeep: 1536:mIQFpGzSizwLlJfs0K3O6RLwfWMC3gAHmTBu:mE8xZ+3RRLwfzWgsd

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x87e0
timedatestamp.....: 0x498a8a9e (Thu Feb 05 06:43:42 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x8890 0x8900 5.54 067e9d2acbfd70e06bebe8288183e543
.rdata 0x8b80 0x1d5 0x200 5.06 dd78c3ec22b9675d5db67fa33cd4a20c
.data 0x8d80 0x6be0 0x6c00 7.99 a778865a36fd2b7ff8f9c315f6139e34
.reloc 0xf980 0x100 0x100 2.75 7bdaf3cd84670c698d8061679de94a92

( 0 imports )

( 0 exports )
Seitenanfang Seitenende
15.02.2009, 17:47
virenfinder
Member

Beiträge: 3716
#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein
files to delete:
c:\windows.0\system32\drivers\pmxqgyokiumbpem.sys
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
poste das log.
Seitenanfang Seitenende
15.02.2009, 18:02
isabella19
Member

Themenstarter

Beiträge: 32
#7 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun Feb 15 17:53:06 2009

17:53:06: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun Feb 15 17:55:19 2009

17:55:19: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "qumovuypp" found!
DisplayName: qumovuypp
ImagePath: \??\C:\WINDOWS.0\system32\drivers\pmxqgyokiumbpem.sys
Driver disabled successfully.

Rootkit scan completed.

File "c:\windows.0\system32\drivers\pmxqgyokiumbpem.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
15.02.2009, 18:19
virenfinder
Member

Beiträge: 3716
#8 sehr gut.
da du rootkits auf deinem system hast:
1. Alle deine passwörter sind als gestohlen angesehen und müssen geendert werden, sobald wir hier durch sind!
2. Wenn du onlinebanking oder sonstige geschefte betreibst, teile es der bank paypall etc. mit.
Kommen wir zu weiteren rootkitscans.
Wichtig: Wenn du die scans ausfürst müssen ALLE Programme beendet werden, auch antivir.
das internet muss aus sein also kabel raus oder wlan aus.
Bitte keine neustarts zwischen den scans, wenn fertig verbinden mit internet und logs posten.
http://74.125.77.132/search?q=cache:X5lU4B_-fW0J:virus-protect.org/rootkitscanner.html+rootkitscanner%2Bvirus+protect&hl=de&ct=clnk&cd=1&gl=de
dort folgende scanner:
Blacklight
Gmer
catchme
Seitenanfang Seitenende
15.02.2009, 18:54
isabella19
Member

Themenstarter

Beiträge: 32
#9 ich bin endlich durch.... (mit den nerven ;-) )

Blacklight (die 2. anweisung mit daten umbennen konnte ich leider nicht ausführen):
02/15/09 18:44:38 [Info]: BlackLight Engine 2.2.1092 initialized
02/15/09 18:44:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/15/09 18:44:38 [Note]: 7019 4
02/15/09 18:44:38 [Note]: 7005 0
02/15/09 18:44:56 [Note]: 7006 0
02/15/09 18:44:56 [Note]: 7011 1284
02/15/09 18:44:56 [Note]: 7035 0
02/15/09 18:44:57 [Note]: 7026 0
02/15/09 18:44:57 [Note]: 7026 0
02/15/09 18:44:58 [Note]: FSRAW library version 1.7.1024
02/15/09 18:46:25 [Note]: 2000 1012
02/15/09 18:46:40 [Note]: 7007 0

Gmer:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-15 18:40:05
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

? tlfg.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs savonaccessfilter.sys (SAV On-access and HIPS for Windows XP (x86)/Sophos Plc)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 Maestro1.sys (KeyMaestro Sys for Windows NT, 2000, .../BTC)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 Maestro1.sys (KeyMaestro Sys for Windows NT, 2000, .../BTC)

---- EOF - GMER 1.0.14 ----


catchme:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Seitenanfang Seitenende
15.02.2009, 19:15
virenfinder
Member

Beiträge: 3716
#10 neues hijackthis log und teile mit, wie der pc läuft...
Seitenanfang Seitenende
15.02.2009, 19:19
isabella19
Member

Themenstarter

Beiträge: 32
#11 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:23, on 15.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\hkcmd.exe
C:\WINDOWS.0\system32\igfxpers.exe
C:\WINDOWS.0\RTHDCPL.EXE
C:\KMaestro\KMaestro.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavProgress.exe
C:\Program Files\Trend Micro\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.0\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS.0\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BtcMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Nuwsb] C:\WINDOWS.0\??crosoft\??ool32.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85EF6602-58BA-4182-8ADE-45E2EB4E6FC5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 5635 bytes

der pc läuft jetzt "ruhiger" so wie früher. seit gestern hat er oft gestockt oder ist einfach hängengeblieben. mehr kann ich noch nicht sagen, da ich ja zur zeit nichts mache...
Seitenanfang Seitenende
15.02.2009, 19:26
virenfinder
Member

Beiträge: 3716
#12 besuche erneut virus total und lad hoch:
C:\WINDOWS.0\??crosoft\??ool32.exe
poste das ergebniss
Seitenanfang Seitenende
15.02.2009, 19:29
isabella19
Member

Themenstarter

Beiträge: 32
#13 ich bekomm eine fehlermeldung.
0 bytes size received / Se ha recibido un archivo vacio

hängt dass mit den fragezeichen im pfad zusammen?
Seitenanfang Seitenende
15.02.2009, 19:34
virenfinder
Member

Beiträge: 3716
#14 ok, dann gehe manuell
C:\WINDOWS.0\??crosoft\
und such dort die exe-datei:
??ool32.exe
erstelle vorher einen neuen ordner den du findest und kopiere sie dort rein, dann bei vt auf durchsuchen, zu dem neu erstellten ordner navigieren und öffnen dann auf die datei klicken und hochladen.
Seitenanfang Seitenende
15.02.2009, 19:37
isabella19
Member

Themenstarter

Beiträge: 32
#15 ich habe im ordner WINDOWS.0 keinen ordner ??crosoft
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123