Win32:Trojan-gen {Other} Vista 64 bit

#1 Guten tag und schon mal danke im vorraus,

hab zwar schon was über diesen Virus gefunden aber nicht unter Windows-Vista-Home 64bit und auch nicht in verbindung mit den Dateien in denen er bei mir ist!
Mein Avast meldet
C:\Windows\SysWOW64\sysaztl.dll
und in
C:\Windows\SysWOW64\drivers\kbdqaxj.sys\[Embedded_O#0c200]

den Virus Win32:Trojan-gen {Other}

Bitte um Hilfe

Hier mein Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:34, on 24.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Vtune\TBPANEL.exe
D:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files (x86)\avast\ashDisp.exe
D:\Program Files (x86)\Steganos Safe 11\SteganosHotKeyService.exe
D:\Program Files (x86)\Steganos Safe 11\fredirstarter.exe
D:\Program Files (x86)\ICQ6.5\ICQ.exe
D:\Teamspeak2_RC2\TeamSpeak.exe
D:\Program Files (x86)\avast\ashSimpl.exe
D:\Program Files (x86)\Mozilla Firefox\firefox.exe
D:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files (x86)\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files (x86)\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files (x86)\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files (x86)\avast\ashWebSv.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: dlcf_device - - C:\Windows\system32\dlcfcoms.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\Windows\system32\LckFldService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 4055 bytes
__________
Mein Leben verläuft streng nach Murphys Gesetz

#2 Interessante Funde! Wenn sie noch da sind, teste die Dateien bitte bei Virustotal und poste die Links zu den Ergebnissen..
__________
MfG Ralf
SEO-Spam Hunter

#3 Guten Morgen,

als ich den Rechner heute hochgefahren hab hat gleich Windows Defender wegen der Dateien Alarm geschlagen !
Empfohlenen Maßnahme : Verschieben!
Avast schlägt Alarm dass jetzt die Dateien in Windows/Temp/ sind !
Datenträgerbereinigung und CCleaner laufen lassen! Fertig !
Avast und Windows Defender finden nun nix mehr !

Danke dir erst mal!
Bitte aber Thread mal im Auge behalten !

Dass ging mir schon fast zu einfach !
__________
Mein Leben verläuft streng nach Murphys Gesetz

#4 Scanne mit Malwarebytes und schau was gefunden wird, poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#5 Du solltest dir gedanken machen, wie die Malware in den Ordnern ueberhaupt Dateien kopieren konnte! UAC haette sich aufs heftigste beschweren muessen. Aktiv sollte die Malware in dem Drivers Ordner eh nicht werden koennen, da Vista 64 Bit nur signierte Treiber zulaesst...
__________
MfG Ralf
SEO-Spam Hunter

#6 UAC? Wie hätte ich das verhindern können ? Sicherheitstipps?
Bei mir läüft spybot;Avast; Windows firewall; Hardware Firewall(Router); und Benutzerkontensteuerung !!
Was kann ich noch tun ?

Ah UAC!!! Hat sich nicht beschwert vieleicht hab ich mir das mit irgendnem Progi installiert ! da werd ich ja auch ab und zu nahc Passwort gefragt !!!

Malware Bytes hat eine datei gefunden! löschen?

Hier das Log !!

Danke im vorraus!!

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________
Mein Leben verläuft streng nach Murphys Gesetz

#7 Hab das Gefuühl ich ahb was falsch gemacht! Seit 2 Tagen Keine Antwort???
__________
Mein Leben verläuft streng nach Murphys Gesetz

#8 Zu UAC:
http://de.wikipedia.org/wiki/Benutzerkontensteuerung

Ein 64 Bit Vista ist realtiv resistent gegen Malware. Zumindest bis jetzt. Es hat den Vorteil, das es Nur Treiber zulaest, die von MS signiert sind. Dadurch wird verhindert, das Malware sich tief ins System eingraben kann.


Was du noch machen koenntest, waeren weiter Kontrollscans.
Nutze bitte einmal die Antivir Bootcd dafuer:
http://board.protecus.de/t23979.htm#298775
__________
MfG Ralf
SEO-Spam Hunter

#9 das Rescue System hat 1 Fund und 98 Warnungen angezeigt !
leider Ist das Log-File nicht gespeichert ! Wenn ich Avira so suchen lassen findet es nix !!!

Was ist das hier? Im Systemstart : DLCFCATS
Dienst : dlcf_device

Steht nicht bei prozessen im Taskmanager nur bie msconfig !!!

hab dazu nix gefunden !!!

Dank dir !!
__________
Mein Leben verläuft streng nach Murphys Gesetz

#10 hoffe du hast den fund nicht gelöscht?
scanne noch mal, du kannst antivir updaten (die rescue cd) nichts löschen, diesmal fund + fundort aufschreiben.

#11 ging wieder nicht! hängt sich beim runterfahren nach dem scan immer auf (mit reset neu starten) sieht auch anders aus als in der Beschreibung (Richtige Oberfläche mit maus und so ) !!

Diesmal Fund aufgeschrieben :

ALERT: [APPL/PSExec.E]
/mnt/sda2/Combofix/Psexec.cfexe
<<< contains detection pattern of the application APPLPSExec.E
Archive:mnt/sda2/Users/Admin/APPData/local/Microsoft/Windows/Temporary Internet files/low/Content. IE5/6210RSTA/swflash5r42[1].cab --> swflash inf extract error (Header of archive is bad )
Archive:mnt/sda2/Users/Admin/APPData/local/Microsoft/Windows/Temporary Internet files/low/Content. IE5/6210RSTA/swflash5r42[1].cab -->FP_AX_CAB_installer.exe extract error (Total loss, can´t extract rest of archive)

und dann halt 98 Warnung das waren aber alles Archive die nicht geöffnet konnten von spielen usw.

PS.: >Keine Idee was DLCFCATS ist?
__________
Mein Leben verläuft streng nach Murphys Gesetz

#12 es wurde nur combofix gefunden, ist also kein prob
der eintrag hat irgendwas mit dell zu tun wenn es probleme mit dem drucker gab, wird dieser erstellt wenn ich mich recht erinnere. hast du ein gerät von dell?

#13 Jap alles cool also ! Dank dir für die Hilfe hier und beim andern Thread !

TOP-SUPPORT
__________
Mein Leben verläuft streng nach Murphys Gesetz