AppCert

AppCert , wsil32.dll

File wsil32.dll received on 11.29.2007 00:13:40 (CET)

Microsoft - - Trojan:Win32/Fursto.E
F-Secure Anti-Virus Found Trojan-Downloader.Win32.Agent.fmm
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.fmm
NOD32 Found Win32/Agent.NNJ

weiter Combofix

((((((((((((((( Weitere Löschungen )))))))))))

F:\WINDOWS\System32\geede.dll
F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
F:\WINDOWS\msettings.ini
F:\WINDOWS\system32\004HlLdy.dll
F:\WINDOWS\system32\00eQD3oL.dll
F:\WINDOWS\system32\0265dadU.dll
F:\WINDOWS\system32\8B322i3Ii.dll . . . . Nicht in der Lage zu löschen

(((((((((((((((((((((( Drivers/Services ))))))))))))))))))

-------\LEGACY_MICROSOFT_INET_SERVICE

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

((((((((((((((((((((((( AWF )))))))))))))))))))))){

----a-w 1,228,850 2003-10-14 15:18:04 F:\Programme\Ahead\InCD\bak\InCD.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Ahead\InCD\InCD.exe

----a-w 585,728 2003-05-30 07:42:22 F:\Programme\Analog Devices\SoundMAX\bak\Smax4.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\Smax4.exe 
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]
F:\WINDOWS\System32\hudhsikk.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]
2007-11-16 00:00 84480 --a------ f:\windows\system32\dpcdllt.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]
2007-09-21 01:13 110020 --a------ F:\WINDOWS\System32\8B322i3Ii.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]
F:\WINDOWS\system32\msac_32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
appsecdll REG_EXPAND_SZ F:\WINDOWS\System32\AppCert\wsil32.dll
R0 wepvtkts;wepvtkts;F:\WINDOWS\System32\drivers\ntcuicir.dat []

--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: F:\WINDOWS\system32\winlogon.exe
-> F:\WINDOWS\System32\AppCert\ywb11.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)
weiter Findawf

erster Schritt:

Doppelklick auf FindAWF.exe - und schreibe : 1 [Scan for bak folders] + klicke Enter
es wird ein Log (awf.txt) erstellt

bak folders found

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK
0 Datei(en) 0 Bytes

Verzeichnis von F:\PROGRA~1\QUICKT~1\BAK

04.06.2006 20:49 282.624 qttask.exe
1 Datei(en) 282.624 Bytes
2 Verzeichnis(se), 6.091.440.128 Bytes frei

zweiter Schritt:

Doppelklick auf FindAWF.exe - und schreibe: 2 [Restore files from bak folders] + klicke "Enter - eine files.txt wird sich öffnen. (kopiere in die Textdatei - rechter Mausklick auf die vom Moderator angegebenen Daten - kopieren, dann Einfügen) 
"F:\Programme\Ahead\InCD\bak\InCD.exe"
"F:\Programme\Analog Devices\SoundMAX\bak\Smax4.exe"
"F:\Programme\Analog Devices\SoundMAX\bak\SMax4PNP.exe"
"F:\Programme\ATI Technologies\ATI.ACE\bak\cli.exe"
"F:\Programme\Intel\Intel Application Accelerator\bak\iaanotif.exe"
"F:\Programme\QuickTime\bak\qttask.exe"
"F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe"
"F:\WINDOWS\system32\bak\ctfmon.exe"
"F:\WINDOWS\system32\bak\lsasss.exe"
"F:\WINDOWS\system32\bak\NeroCheck.exe"
klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja" es geschieht folgendes:

* It attempts to terminate the process represented by each filename on the list (if running).
* Deletes the rogue file from the parent folder (if present).
* Copies the original file to the parent folder.

kopiere das automatisch erscheinende neue Log - awf.txt

bak folders found
Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.119.489.536 Bytes frei

Verzeichnis von F:\PROGRA~1\QUICKT~1\BAK
04.06.2006 20:49 282.624 qttask.exe
1 Datei(en) 282.624 Bytes
2 Verzeichnis(se), 6.119.489.536 Bytes frei

dritter Schritt:

Doppelklick FindAWF.exe
und schreibe: 3 - + klicke "Enter - eine files.txt wird sich öffnen. 
F:\WINDOWS\SYSTEM32\BAK
F:\Programme\Ahead\InCD\bak
F:\Programme\Analog Devices\SoundMAX\bak
F:\Programme\Analog Devices\SoundMAX\bak
F:\Programme\ATI Technologies\ATI.ACE\bak
F:\Programme\Intel\Intel Application Accelerator\bak
F:\Programme\QuickTime\bak
F:\Programme\Spybot - Search & Destroy\bak

klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja"
kopiere das Log, welches erscheint ins Sicherheitsforum 

««
kopiere das in den Texteditor - abspeichern als look32.bat (unter alle Dateien abspeichern) 
und auf dem Desktop abspeichern - klicke die bat doppelt, poste, was im Texteditor erscheint
cd\
cd %windir%\system32\AppCert
dir /a:-d /o:-d > %systemdrive%\look32.txt
start %systemdrive%\look32.txt
cls
exit

kopiere in den Texteditor:

abspeichern (unter "alle Dateien" als Look.bat - dann die bat doppeltklicken 
@echo off
swreg query "HKLM\system\currentcontrolset\control\session manager\AppCertDlls" /s >log.txt
Vfind -ltf "%windir%\system32\AppCert\*" >>log.txt
Start Notepad log.txt
Nircmd cmdwait 1500
del log.txt
del %0

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls
AppSecDll REG_EXPAND_SZ C:\WINDOWS\system32\AppCert\wsil32.dll
----a-w 23 2007-12-30 03:39:40 C:\WINDOWS\system32\AppCert\filter.drv
----a-w 86,016 C:\WINDOWS\system32\AppCert\hb13a.dll
----a-w 1 C:\WINDOWS\system32\AppCert\options.dat
----a-w 118,784  03:14:44 C:\WINDOWS\system32\AppCert\prx97w.dll
----a-w 24,576 2004-08-04 10:00:00 C:\WINDOWS\system32\AppCert\wsil32.dll

C:\WINDOWS\system32\AppCert\filter.drv
C:\WINDOWS\system32\AppCert\hb13a.dll
C:\WINDOWS\system32\AppCert\options.dat
C:\WINDOWS\system32\AppCert\prx97w.dll
C:\WINDOWS\system32\AppCert\wsil32.dll

weiter Combofix 
KILLALL::

Driver::
wepvtkts

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert]
"Path"=-
"CurrentState"="stop"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
"AppSecDll"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
"appsecdll"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
[-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]

File::
C:\DOKUME~1\%Username%\LOKALE~1\Temp\JET1.tmp
C:\DOKUME~1\%Username%\LOKALE~1\Temp\JETFE66.tmp
C:\WINDOWS\Temp\JET1.tmp
C:\WINDOWS\Temp\JETFE66.tmp
C:\WINDOWS\System32\AppCert\ywb11.dll
C:\WINDOWS\System32\AppCert\wsil32.dll
C:\WINDOWS\wininit.ini
C:\WINDOWS\System32\drivers\ntcuicir.dat
C:\WINDOWS\System32\dpcdllt.dll
C:\WINDOWS\System32\8B322i3Ii.dll
C:\WINDOWS\system32\msac_32.dll
C:\WINDOWS\System32\hudhsikk.dll

Folder::
C:\windows\System32\AppCert

anderer PC

2007-12-31 17:04 . 2008-01-09 20:57 DIR d-------- C:\WINDOWS\system32\AppCert

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\sessionmanager\appcertdlls]
appsecdll REG_EXPAND_SZ C:\WINDOWS\System32\AppCert\wsil32.dll

2007-11-05 15:51 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-11-05 15:51 741,632 --a------ C:\WINDOWS\system32\fnuaonaw.dat
2007-11-05 15:51 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2007-11-05 15:51 120,064 --a------ C:\WINDOWS\system32\gztujjrr.dat
2007-11-05 15:51 41,728 --a------ C:\WINDOWS\system32\gbftubur.dat
2007-11-05 15:51 36,096 --a------ C:\WINDOWS\system32\vzxohcmj.dat
2007-11-05 15:51 5,120 C:\WINDOWS\system32\drivers\lcmeuxei.dat
DIR d-------- C:\WINDOWS\system32\AppCert
2007-11-05 15:45 15,872 --a------ C:\WINDOWS\system32\o4n3y9x4a.exe
2007-11-05 15:29 18,688 C:\WINDOWS\system32\drivers\wfsytpug.dat
2007-11-05 15:28 93,696 --a------ C:\WINDOWS\system32\apcupsu.dll

R0 mxjwavrj;mxjwavrj;C:\WINDOWS\System32\drivers\wfsytpug.dat

*Newly Created Service* - MXJWAVRJ

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgshcxjh]
dbnetlibc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt] 

File::
C:\WINDOWS\system32\fnuaonaw.dat
C:\WINDOWS\system32\gztujjrr.dat
C:\WINDOWS\system32\gbftubur.dat
C:\WINDOWS\system32\vzxohcmj.dat
C:\WINDOWS\system32\drivers\lcmeuxei.dat
C:\WINDOWS\system32\o4n3y9x4a.exe
C:\WINDOWS\system32\drivers\wfsytpug.dat
C:\WINDOWS\system32\apcupsu.dll
c:\windows\system32\dbnetlibc.dll
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\system32\AppCert\filter.drv
C:\WINDOWS\system32\AppCert\hb13a.dll"
C:\WINDOWS\system32\AppCert\options.dat
C:\WINDOWS\system32\AppCert\prx97w.dll
C:\WINDOWS\system32\AppCert\wsil32.dll
C:\WINDOWS\Temp\JETE8CF.tmp
C:\WINDOWS\Temp\JETEA85.tmp

Folder::
C:\WINDOWS\system32\AppCert

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3AC69688-4491-4B18-A5EA-D753827E798E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2CAA0EB-26F7-4491-8D89-F5E9E22188DB}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgshcxjh]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\o4n3y9x4a]

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert] 
"Path"=- 
"CurrentState"="stop" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls] 
"AppSecDll"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls] 
"AppSecDll"=- 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls] 
[-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]

Driver::
mxjwavrj


C:\WINDOWS\system32\apcupsu.dll . . . . failed to delete
C:\WINDOWS\system32\drivers\lcmeuxei.dat . . . . failed to delete
C:\WINDOWS\system32\drivers\wfsytpug.dat . . . . failed to delete

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_MXJWAVRJ
-------\mxjwavrj 

KILLALL::

File::
C:\windows\System32\AppCert\options.dat
C:\windows\System32\AppCert\wnl32.dll
C:\windows\System32\AppCert\wsil32.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert]
"Path"=-
"CurrentState"="stop"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
"AppSecDll"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]
"AppSecDll"=-


Avg just ran a scan and came back with these results:
hosts change c:\\windows\system32\drivers\etc\hosts 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert

In the right-hand panel, what is the value of "InstallDate" Question
NeedSendInfo = 0x00000001
UpdateReady = 0x00000000
InstallDate = "11/19/07"
CurrentState = "stop"
Version = 0x0000001F
Path = "%System%\AppCert"

NeedSendInfo = 0x00000000 (0)
UpdateReady = 0x00000000 (0)
InstallDate = "11/28/07"
CurrentState = "start"
Version = 0x0000001f (31)
Path = "C:\WINDOWS\System32\AppCert 

C:\WINDOWS\system32\AppCert
C:\WINDOWS\system32\AppCert\filter.drv
C:\WINDOWS\system32\AppCert\hb13a.dll
C:\WINDOWS\system32\AppCert\options.dat
C:\WINDOWS\system32\AppCert\prx97w.dll
C:\WINDOWS\system32\AppCert\wsil32.dll

Folder::
C:\WINDOWS\system32\AppCert

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8DC22A4E-DBFA-4B7A-A56A-E50581BBDD73}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B4882696-2771-482B-AD1B-E915D97ABE0E}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\stgyeesb]





virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam