AntiVirusPro
|
AntiVirusProDie Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die "kostenpflichtige Vollversion" keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt. C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Antivirus 2008 PRO C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk C:\Programme\Antivirus 2008 PRO C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe C:\Programme\Antivirus 2008 PRO\vscan.tsi C:\Programme\Antivirus 2008 PRO\zlib.dll C:\WINDOWS\Downloaded Program Files\setup.inf
2008-03-15 13:44 . 2008-03-15 13:44 DIR d-------- C:\WINDOWS\system32\config\systemprofile\
Anwendungsdaten\Anti-Virus-Pro.com
2008-03-15 13:44 . 2008-03-15 13:44 DIR d-------- C:\Programme\AntiVirusPro
2008-03-15 13:43 . 2008-03-15 13:43 269,334 --a------ C:\WINDOWS\system32\snmpkn.bmp
2008-03-15 10:56 . 2008-03-15 06:03 245,760 --a------ C:\WINDOWS\altvxvm.dll
2008-03-15 10:56 . 2008-03-15 06:03 221,184 --a------ C:\WINDOWS\bokpkov.dll
2008-03-15 10:56 . 2008-03-15 06:03 176,128 --a------ C:\WINDOWS\etlrlws.dll
2008-03-15 10:56 . 2008-03-15 06:03 98,304 --a------ C:\WINDOWS\fmsxwqs.exe
2008-03-14 17:40 . 2008-03-14 17:40 173,518 --ah----- C:\WINDOWS\system32\BITB4.tmp
2008-03-04 15:02 . 2008-03-04 15:02 181,760 --a------ C:\WINDOWS\system32\msram.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0D504883-70CA-48BD-A282-639753D3B0CE}]
C:\WINDOWS\drnpfdxwlv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B3A00219-19D4-4966-AECD-8ED34AB9EF7A}]
2008-03-04 15:02 181760 --a------ C:\WINDOWS\system32\msram.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{65F4F8C1-B31F-40B7-9D34-98CA11EAC387}"= "C:\WINDOWS\etlrlws.dll"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wintask32"="wintask32.exe" []
"Pag Windows Monitor"="pag.exe" []
"3885"="AutomaticUpdates.exe" []
"4684"="netdll32.exe" []
"Windows LoL Layer"="fhwples.exe" []
"Windows sys Layer"="ofdhzckktcuo.exe" []
"Cafe Security Center"="ntmp.exe" []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wintask32"="wintask32.exe" []
"Pag Windows Monitor"="pag.exe" []
"Arcor Online"="" []
"3885"="AutomaticUpdates.exe" []
"4684"="netdll32.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [ ]
"Windows LoL Layer"="fhwples.exe" []
"Windows sys Layer"="ofdhzckktcuo.exe" []
"Cafe Security Center"="ntmp.exe" []
"ctfmona"="C:\WINDOWS\System32\ctfmona.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"wintask32"="wintask32.exe" []
"Pag Windows Monitor"="pag.exe" []
"3885"="AutomaticUpdates.exe" []
"4684"="netdll32.exe" []
"Windows LoL Layer"="fhwples.exe" []
"Windows sys Layer"="ofdhzckktcuo.exe" []
"Cafe Security Center"="ntmp.exe" []
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"wintask32"="wintask32.exe" []
"Cafe Security Center"="ntmp.exe" []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"altvxvm"= {2CFF7CC2-9B86-49B7-BB69-E30ED96B3186} - C:\WINDOWS\altvxvm.dll
"bokpkov"= {2537455E-5AE8-46B4-A7A3-921851616419} - C:\WINDOWS\bokpkov.dll
Scanne versteckte Dateien...
C:\WINDOWS\system32\ntos.exe 166912 bytes executable
C:\WINDOWS\system32\wsnpoem
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: GNX Rolex - {0D504883-70CA-48BD-A282-639753D3B0CE} - C:\WINDOWS\drnpfdxwlv.dll (file missing)
O2 - BHO: FGCatchUrl - {B3A00219-19D4-4966-AECD-8ED34AB9EF7A} - C:\WINDOWS\system32\msram.dll
O2 - BHO: QuickTalk 2.1 - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - C:\WINDOWS\system32\iesearch.dll
O3 - Toolbar: etlrlws - {65F4F8C1-B31F-40B7-9D34-98CA11EAC387} - C:\WINDOWS\etlrlws.dll
O4 - HKLM\..\Run: [wintask32] wintask32.exe
O4 - HKLM\..\Run: [Pag Windows Monitor] pag.exe
O4 - HKLM\..\Run: [3885] AutomaticUpdates.exe
O4 - HKLM\..\Run: [4684735485910] netdll32.exe
O4 - HKLM\..\Run: [Windows LoL Layer] fhwples.exe
O4 - HKLM\..\Run: [Windows sys Layer] ofdhzckktcuo.exe
O4 - HKLM\..\Run: [Cafe Security Center] ntmp.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\System32\ctfmona.exe
O4 - HKLM\..\RunServices: [wintask32] wintask32.exe
O4 - HKLM\..\RunServices: [Pag Windows Monitor] pag.exe
O4 - HKLM\..\RunServices: [3885] AutomaticUpdates.exe
O4 - HKLM\..\RunServices: [4684735485910] netdll32.exe
O4 - HKLM\..\RunServices: [Windows LoL Layer] fhwples.exe
O4 - HKLM\..\RunServices: [Windows sys Layer] ofdhzckktcuo.exe
O4 - HKLM\..\RunServices: [Cafe Security Center] ntmp.exe
O4 - HKCU\..\Run: [wintask32] wintask32.exe
O4 - HKCU\..\Run: [Pag Windows Monitor] pag.exe
O4 - HKCU\..\Run: [3885] AutomaticUpdates.exe
O4 - HKCU\..\Run: [4684735485910] netdll32.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [Windows LoL Layer] fhwples.exe
O4 - HKCU\..\Run: [Windows sys Layer] ofdhzckktcuo.exe
O21 - SSODL: altvxvm - {2CFF7CC2-9B86-49B7-BB69-E30ED96B3186} - C:\WINDOWS\altvxvm.dll
O21 - SSODL: bokpkov - {2537455E-5AE8-46B4-A7A3-921851616419} - C:\WINDOWS\bokpkov.dll
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten anderer PC 2008-03-17 07:26 . 2008-03-17 07:26 DIR d-------- C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Anti-Virus-Pro.com 2008-03-17 07:26 . 2008-03-17 07:26 269,334 --a------ C:\WINDOWS\system32\dorapgb.bmp 2008-03-17 06:43 . 2008-03-18 07:33 DIR d-------- C:\Programme\AntiVirusPro 2008-03-17 06:43 . 2008-03-17 06:43 269,334 --a------ C:\WINDOWS\system32\qlormhgbeh.bmp C:\WINDOWS\system32\wsnpoem C:\WINDOWS\system32\snqdsjapcjqd.bmp C:\WINDOWS\system32\balcbidobmh.bmp C:\WINDOWS\system32\dorapgb.bmp C:\WINDOWS\system32\qlormhgbeh.bmp C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Anti-Virus-Pro.com C:\Programme\AntiVirusPro C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe AntiVir 7.6.0.75 2008.03.26 TR/Peed.A.190 AVG 7.5.0.516 2008.03.26 SHeur.BAZN BitDefender 7.2 2008.03.26 Trojan.Peed.Gen DrWeb 4.44.0.09170 2008.03.26 Trojan.Packed.142 F-Prot 4.4.2.54 2008.03.26 W32/STZ_like!Generic Microsoft 1.3301 2008.03.26 Trojan:Win32/Tibs.FZ |