Rogue,RapidAntivirus / Trojan.Downloder

hallo,

ich habe gestern abend meinen Rechner mit Malwarebytes Anti-Malware überprüft und zwei Infizierte Daten auf meinem Rechner gefunden.
Anbei das Log von Malware:


Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1446
Windows 5.1.2600 Service Pack 3

02.12.2008 20:54:41
mbam-log-2008-12-02 (20-54-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 103907
Laufzeit: 48 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Rapid Antivirus (Rogue.RapidAntivirus) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\msiconf.exe (Trojan.Downloader) -> No action taken.

Anschließend das Protokol von Hijack This:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:50:03, on 03.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\System Explorer\SystemExplorer.exe
C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\Kabelloser Labtec-Desktop\MulMouse.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Kabelloser Labtec-Desktop\OSD.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Raxco\PerfectDisk\PDEngine.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\UTE&JR~1\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SystemExplorer] "C:\Programme\System Explorer\SystemExplorer.exe" /TRAY
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O4 - Global Startup: Kabellosen Labtec-Desktop aktivieren.lnk = C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.pcwelt.de/_misc/bitdefender/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1206634241765
O20 - Winlogon Notify: UpdateNf - C:\WINDOWS\SYSTEM32\updatenf.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 7273 bytes


Ich hoffe euch damit erstmal einen Überblick verschafft zu haben, ich habe diese Dateien in Qurantäne gestellt und noch nicht gelöscht.


Vielen Dank im vorraus für Eure Hilfe

Dummkopf

 

Die gefundene Malware mal in ein anderes Verzeichnis verschieben.
Dann PC neu starten und nochmal Malwarebytes durchlaufen lassen.

Wenn dann wieder welche erscheint diese Zeile mit Hijackthis im abgesicherten Modus fixen:
O20 - Winlogon Notify: UpdateNf - C:\WINDOWS\SYSTEM32\updatenf.dll

updatenf.dll auch mal bei www.virustotal.com/de untersuchen lassen.
Wenn schädlich fixen.

HijackThis.exe in einen eigenen Ordner entpacken. Ansonsten werden keine Sicherungen angelegt, um Änderungen rückgängig machen zu können.

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

Bei Chip hättest du ruhig noch etwas warten können, bis du dich an ein anderes Forum wendest.
http://forum.chip.de/viren-trojaner-wuermer/rogue-rapidantvirus-trojan-downloader-1102576.html

 

sorry,

wollte mir einfach nur mehr Meinungen einholen.
Habe es schon mit der Systemwiederherstellung versucht leider auch ohne Erfolg.
Falls ich mein System Platt machen müßte, kann ich mir dann mit dem pcwUltimatloader 1.20 eine CD mit allen bis heute geladenen Updates erstellen ohne das ich Probleme damit bekomme.
Ich möchte nicht wieder mir einem ungepachten XP online gehen.

Wie gesagt SORRY

mfG
Dummkopf

 

Mit dem pcwUltimatloader soll man das machen können.
Ich benutze den aber nicht und kann bei Problemen damit nicht weiterhelfen.
Ich benutze das XPpostSP3update von http://www.winhelpline.info/forum/w...287-windows-xp-update-pack-v12-11-2008-a.html

 

hallo deoroller,
wei denn Deine Meinung Platt machen oder Norton entfernen da Antivir die Datei erkannt hat siehe Log von VirusTotalAntivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.2.2 2008.12.03 -
AntiVir 7.9.0.36 2008.12.03 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.12.03 -
Avast 4.8.1281.0 2008.12.02 -
AVG 8.0.0.199 2008.12.03 -
BitDefender 7.2 2008.12.03 -
CAT-QuickHeal 10.00 2008.12.03 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.12.03 -
DrWeb 4.44.0.09170 2008.12.03 -
eSafe 7.0.17.0 2008.12.02 Suspicious File
eTrust-Vet 31.6.6241 2008.12.03 -
Ewido 4.0 2008.12.03 -
F-Prot 4.4.4.56 2008.12.03 -
F-Secure 8.0.14332.0 2008.12.03 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2008.12.03 PossibleThreat
GData 19 2008.12.03 -
Ikarus T3.1.1.45.0 2008.12.03 -
K7AntiVirus 7.10.540 2008.12.02 -
Kaspersky 7.0.0.125 2008.12.03 -
McAfee 5452 2008.12.02 -
McAfee+Artemis 5452 2008.12.02 -
Microsoft 1.4205 2008.12.03 TrojanDownloader:Win32/Renos.HB
NOD32 3660 2008.12.03 -
Norman 5.80.02 2008.12.02 -
Panda 9.0.0.4 2008.12.03 Adware/RapidAntivirus
PCTools 4.4.2.0 2008.12.03 -
Prevx1 V2 2008.12.03 -
Rising 21.06.22.00 2008.12.03 -
SecureWeb-Gateway 6.7.6 2008.12.03 Trojan.Crypt.XPACK.Gen
Sophos 4.36.0 2008.12.03 Mal/EncPk-CZ
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.03 -
TheHacker 6.3.1.2.172 2008.12.02 -
TrendMicro 8.700.0.1004 2008.12.03 -
VBA32 3.12.8.10 2008.12.02 -
ViRobot 2008.12.3.1498 2008.12.03 -
VirusBuster 4.5.11.0 2008.12.02 -
weitere Informationen
File size: 80896 bytes
MD5...: 6132edc10fc7c81a00ccd325aec78043
SHA1..: 0fadf4283b00b863a5737de0fdfd537ef982f519
SHA256: 2858a29110c678ffb479ab39043599c37f19e1e36c7be9c04fa17f9bfcfde47a
SHA512: 6769751c32ceb6fc4fde6d3f9dfdeb8eb927c6df6565d1de758585fc7191119b
7eafb7ffef3cd7fcf163bd64298ee7db6e6d90fb482d0c941f164e71d8eafb8b
ssdeep: 1536:ua5fEtOApclMk5pE8W3z8VDH4ENx5Ss20mRuYWR+9:RstPCl3BW3YVDYSrS
luYWR
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ 4.x (85.8%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
Win16/32 Executable Delphi generic (1.3%)
Generic Win/DOS Executable (1.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401060
timedatestamp.....: 0x492d8309 (Wed Nov 26 17:10:33 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe8fb 0xae00 8.00 a3151ad0dc3578b8193e357c0eb70136
.rdata 0x10000 0x453c 0x2600 7.98 ecd8a6e37b0613983b6e51e5b9d5352d
.data 0x15000 0xad4 0x400 7.78 206c3435b6dd9308ad7807348cc7625b
.rsrc 0x16000 0x2f000 0x6000 6.77 4bb6719901a29b17659a38151c31a483

( 2 imports )
> kernel32.dll: CreatePipe, OpenProcess, VirtualProtect
> shell32.dll: StrRChrIW, StrRChrIW, SHGetMalloc

( 0 exports )

Danke für Deine Meinung ich hoffe Du kannst mir helfen!

 

Weil ein Scanner mal einen Schädling nicht erkennt, wechselt man ihn doch nicht gleich aus.
Dann würde ich mit NOD32 auch Schiffbruch erleiden. Und Ad-Aware und Windows Defender dann auch gleich mit entsorgen?
Das hat andere Gründe.
Du surfst offensichtlich in einem Adminkonto, wo sich Schädlinge im Windows System festsetzen können.
Im Benutzerkonto mit eingeschränkten Rechte sind die Verzeichnisse gesperrt, wo die Malware gefunden wurde. Da wäre sie erst gar nicht rein gekommen.

 

hallo deoroller,

ja Du hast Recht ich surfe mit Adminrechten, wenn ich ein eingeschränktes Konto einrichten würde hätte meine Frau große Probleme damit weil Sie leider noch wenier Ahnung hat als ich und ich habe schon keine Ahnung.
Wie sollte ich denn ein solches Konto einrichten? Ich habe es schon mal probiert aber da klappte das installieren von Programmen als Admin gut nur bei dem Zugriff von dem eingeschränkten Konto hatte ich keinen Zugriff mehr, des halb als Admin.

Vielen Dank für Deine Hilfe

Dummkopf

Nomen es Omen

 

Gerade Anfänger merken in einem Benutzerkonto, wo die Grenzen liegen.
Und wenn sie dann nicht mehr wahllos installieren und deinstallieren und machen können, schützt das den PC insgesamt.
Die Veränderungen im Benutzerkonto wirken sich auch nicht auf den Admin und andere Benutzer aus, so dass man auch mal ein Benutzerkonto neu anlegen kann, wenn eins kaputt ist. Beim Admin ist das nicht so einfach.

 

Hallo Deoroller,

ich habe es jetzt nach langen hin und her verstanden!
Ich werde mein System neu aufsetzen.
Danke für Deine, Eure Hilfe

Bis zum nächsten mal

mfG

Dummkopf

 

Das ist eine gute Entscheidung.