Ist crack.45155.exe ein Virus? Wenn ja, wie werde ich ihn los?

#1 Moin allerseits,
nachdem ich (zu) lange nicht mehr mir ein Virus geladen haben, könnte es jetzt passiert sein. Auf der Suche nach einem Crack bin ich hierauf gestoßen: hxxp://www.africacareerguidance.com/crack-269-MorphVOX-Pro.html es scheint eine dieser Betrugsseiten zu sein die Einem Cracks und Serials versprechen und dann Viren, Spyware und Trojaner unterjubeln. Auf den 2. Blick sehe ich nun auch wie verdächtig die Seite aussieht, nur ist es nun zu spät.
Ich habe auf Download geklickt und mir die Datei "crack.45155.exe" runtergeladen. Nach doppeltel Klick ist diese jedoch auf einmal verschwunden und es hat sich sonst nix getan.
Nach kurzer Recherche bin ich hierauf gestoßen: http://www.prevx.com/filenames/X119371076410157877-X1/CRACK.45155.EXE.html
Nur scheint dies eine weitere Betrugsseite zu sein, derren Programm weitere Malware installiert!?

Könnte mir bitte jemand weiter- bzw aushelfen?
Ist crack.45155.exe Malware??? Und wenn ja was macht sie und wie werde ich sie wieder los?

Hijackthis ergibt auch nix, außer ein paar Windows7 Prozesse die er wohl nicht kennt: Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Dienst (locator.exe) scheint schädlich zu sein.
Prozess läuft nicht im System32 Ordner! ich denke mal diese Meldungen liegen an Win7. Ansonsten nix.
gdata internet security 2010 hat auch nix gefunden. so almählich glaube ich das nix schlimmes passiert ist bzw installiert wurde. evtl dank win7 für das das virus nicht funktioniert.

PS: Benutze Win7 falls das relevant ist. Hier das virustotal.com ergebniss: https://www.virustotal.com/analisis/3e476fbce0b1fbf4d05128cfdae3e3234a0e2327afecd1869a5b637540b66aa3-1253511803
Spybot - Search & Destroy und Gmer hat nichts gefunden. Ergebnisse von Malwarebytes , Hijackthis:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:36, on 21.09.2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe
C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
C:\My programs\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Program Files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe
C:\My programs\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
C:\program files (x86)\g data\internetsecurity\avk\avk.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Program Files\S.A.D\CyberGhost VPN\CyberGhost.exe
C:\Program Files (x86)\Screaming Bee\MorphVOX Pro\MorphVOXPro.exe
C:\Windows\SysWOW64\DllHost.exe
C:\Users\Lord ShadowKiller\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files (x86)\G Data\InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files (x86)\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files (x86)\G Data\InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [GDFirewallTray] C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TrueCrypt] "C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Privoxy.lnk = C:\My programs\Vidalia Bundle\Privoxy\privoxy.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Program Files (x86)\G Data\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Filesystem Monitor (AVKWCtl) - G Data Software AG - C:\Program Files (x86)\G Data\InternetSecurity\AVK\AVKWCtlX64.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Program Files\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: DirMngr - Unknown owner - C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFwSvcx64.exe
O23 - Service: G Data Scanner (GDScan) - G DATA Software AG - C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8311 bytes

Zitat

Malwarebytes' Anti-Malware 1.41
Database version: 2834
Windows 6.1.7100

21.09.2009 11:35:58
mbam-log-2009-09-21 (11-35-58).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 386820
Time elapsed: 57 minute(s), 16 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

#2 arbeite den rest ab:
http://board.protecus.de/t23187.htm
die malware sehe ich mir an.

#3 meinst du die uninstall liste und den gmer report? dort konnte ich auch nix finden.

Zitat

µTorrent
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3
Apple Application Support
Apple Software Update
ArmA2 Uninstall
AV Voice Changer Software DIAMOND 7.0
CCleaner (remove only)
Crysis Wars(R)
Crysis Wars(R)
G Data InternetSecurity
Gpg4win (2.0.0)
Java(TM) 6 Update 16
Male Voice Pack
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MorphVOX Pro
Mozilla Thunderbird (2.0.0.23)
Need for Speed™ SHIFT
NewsLeecher v3.8 Final
NVIDIA PhysX
OpenOffice.org 3.1
PC Wizard 2009.1.90
Privoxy 3.0.6
PunkBuster Services
QuickTime
RealPlayer
Revo Uninstaller 1.83
Skype™ 4.1
Spybot - Search & Destroy
Tor 0.2.1.19
TrueCrypt
Vidalia 0.1.15
VLC media player 1.0.1
WarRock

Kenn ich alle.

Gmer hat auch nix gefunden. Seltsamerweise hängt er sich jedoch seit dem reboot kurz vorm Ende des Suchlaufs immer auf...
deshalb kann ich davon momentan kein Protokoll posten.

#4 Hallo, versuch mal mit rechtsklick und als admin ausführen.

#5 es hat auch so geklappt. ich hatte jetzt nur probleme den log zu posten. war wohl zu lang. deshalb jetzt im Anhang.

#6 Schau mal bitte ob Combofix bei dir läuft, mit rechtsklick als admin ausführen wählen. log posten.

#7 Läuft leider nicht. Inkompatibles OS. Liegt wohl am Win7 64bit.

#8 ok, hab ich mir fast gedacht, morgen gehts weiter.

#9 schön, freu mich :-) Danke für deine Hilfe!

#10 Installiere Windows Defender und scanne http://www.microsoft.com/windows/products/winfamily/defender/default.mspx
Anscheinend ist bei dir IE8 nicht gut eingestellt bei mir wurde es geblockt
Habs trotzdem runter geladen (ersten Link)
http://www.virustotal.com/nl/analisis/01e0c057803f5c5b13252504d9bb8493a4b4f90cfad6376cec9c3ba54d38c15d-1253571064

Es gibt also unterschiede
__________
MfG Argus

#11 In ein Mail von Avira:

Zitat

Die Datei 'crack.45155.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Dldr.FraudLoad.waaa gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

Zitat

We found a new virus at the url you have sent us. The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as "TR/Dldr.FakeAlert.CI".

Gut nicht?
__________
MfG Argus

#12 Windows Defender konnte im quick scan auch nix finden genau wie GData 2010. full scan läuft gerade zum 2 mal, beim 1 mal hat der pc sich dabei aufgehängt.
Ich habe von Avira die gleiche mail bekommen, weiß aber nicht ob mich das beunruhigen sollte. Es ist doch oft so das Antivirenprogramm A Datei Z als Virus erkennt und Antivirenprogramm B nicht. Oder bedeutet das jetzt mit Sicherheit, dass die Datei gefährlich ist und nur 34 andere Antivirenprogramme es nicht erkennen?

#13 Hallo, ich habe die Datei an alle Av-hersteller geschickt, deren mailadresse ich habe, gdata hat dein file noch nicht in die erkennung aufgenommen, wieso meinst du einer erkennt es, und der andere nicht? bis jetzt haben alle die antwort gegeben, dass es aufgenommen wird. die erkennung bei vt lag vor 2 stunden bei 14 von 41 und gestern bei 6 von 41. Ich hab leider kein 64 bit windows 7 zur verfügung um das zu testen, also ob das File lauffähig ist.
64 bit ist ja eine andere Architektur und win 7 ist auch etwas sicherer als die Vorgängerversionen, also wenn du Glück hast, was die Datei nicht richtig lauffähig.

#14 ok, dann habe ich mich vertan. hoffentlich funktioniert die Maleware unter meinem 64bit Win7 wirklich nicht, schließlich konnte ja bisher kein Tools was finden.
Auch der full scan von Windows Defender hat nix gefunden.
Seltsam ist nur, dass seit der möglichen Infektion sich mein System 2mal anscheinend grundlos (habe kein neues programm oder virenscan gestartet) aufgehangen hat. Das hat es vorher nie!

#15 welches gdata nutzt du eigendlich?