Malware Bundespolizei

BooWseR · 01.12.2011, 20:39

Hallo Gemeinde,

Hatte gerade erstmals eine interessante Malware die sich plötzlich zu erkennen gab:

Ich surfte im Internet und suchte Dinge für meinen Minecraftserver, als sich plötzlich ein lustiges Programm der "Bundespolizei" auftat.
Ich wäre auf Seiten gewesen mit Kinderpornographie, Sodomie, habe Datein auf meinem Rechner mit solchem Inhalt, veschickte Spam und E-Mails mit terroristischem Inhalt. Ein pädophiler Terrorist also.

Da die Behörden aber nur fair sind durfte ich die Strafe in Höhe von 100 Euro sofort per Paysafecard oder Ukash begleichen.

Dieses Programm schaltete sich also vor meine gesamten Programme und ich konnte nichts mehr machen - bis auf Alt+ f4. Aber da ich den Taskmanager nicht öffnen konnte um den Explorer wieder herzustellen war es ziemlich unnütz.

Also abgesichter Modus angeschmissen und Virenscanner an. Wieder nur der übliche Tenga:32 Scheiß, doch der bleibt einfach mal wo er ist.
Also Registry und Systemstart via MsConfig auf und einfach mal 2 verdächtige Sachen gelöscht bzw. deaktiviert:
"SearchAnonymizer" aus dem Hause "OSC" und dann noch "Spice Lynn Overt Exalt Pip" von "IBM Corp.".
Ich sehe das Programm von IBM jedoch zum ersten Mal, wesshalb ich an seiner Echtheit zweifel.
Habe es jedoch auch nicht im üblichen Virusordner der Registry gefunden, also "Run", sondern nur den "Searchanonymizer". Den also gelöscht, das Spice fiech aus dem Autostart genommen und es funktioniert wieder.
Nur möchte ich doch sicher sein, dass dieser Müll entgültig von der Platte ist.

Kann mir da jemand helfen, kennt jemand die Datein, oder das Programm?

Lieben Gruß, BooWseR

**Sigi** · 02.12.2011, 06:33

Wenn die Programme gelöscht sind (auch im Taskmanager nachschauen!) muss eine Systemwiederherstellung auf die Tage v o r dem Befall gemacht werden. Dann ist wieder alles OK. Hier die Anleitung zu dem Thema: Übrigens, den Taskmanager bekommt man kurz bevor der Desktop erscheint (2-3 Mal schnell Strg-Alt-Enf drücken). Dort kann man dann die Dateien löschen.

Ukash-Trojaner (BKA-Trojaner) entfernen: Anleitung

**Leonixx** · 02.12.2011, 11:33

Zitat:

muss eine Systemwiederherstellung auf die Tage v o r dem Befall gemacht werden.

Die nur bedingt funktionieren muss, da zig Schädlinge diese manipulieren und man sich den gleichen Schädling wieder an Board holt.

Anleitung abarbeiten und Logfiles posten.
http://www.modernboard.de/viren-wuer...-beachten.html

**Sigi** · 02.12.2011, 12:59

Die Anleitung oben hat gut funktioniert, aber man muss höllenschnell sein, denn wenn sich der Desktop im Hintergrund fertigstellt, kommt wieder das BKA Fenster und überdeckt den Taskmanager. Ich hatte bestimmt 5 bis 6 Mal versucht. Dann ganz schnell die Prozesse aufgerufen und die unbekannten Prozesse gekillt. Dann ging's.

**Leonixx** · 02.12.2011, 15:50

In diesem Falle ist ein Ausführung von rskill.com sinnvoller, der den Malwareprozess stoppt, damit man Scans durchführen kann.

BooWseR · 02.12.2011, 20:10

Sooo meine Freunde. Ich finde die Länge zwar ein wenig übertrieben, aber hier sind wie gewünscht die Logfiles:

RSIT Info:

Code:

info.txt logfile of random's system information tool 1.09 2011-12-02 20:56:45

======Uninstall list======

Streich ich mal, ist zu lang!

======System event log======

Computer Name: Felix-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 209750
Source Name: Service Control Manager
Time Written: 20110827143707.107000-000
Event Type: Informationen
User: 

Computer Name: Felix-PC
Event Code: 7036
Message: Dienst "Software Protection" befindet sich jetzt im Status "Beendet".
Record Number: 209749
Source Name: Service Control Manager
Time Written: 20110827142450.958600-000
Event Type: Informationen
User: 

Computer Name: Felix-PC
Event Code: 7036
Message: Dienst "Shellhardwareerkennung" befindet sich jetzt im Status "Beendet".
Record Number: 209748
Source Name: Service Control Manager
Time Written: 20110827142237.048200-000
Event Type: Informationen
User: 

Computer Name: Felix-PC
Event Code: 7036
Message: Dienst "Multimediaklassenplaner" befindet sich jetzt im Status "Beendet".
Record Number: 209747
Source Name: Service Control Manager
Time Written: 20110827142234.209000-000
Event Type: Informationen
User: 

Computer Name: Felix-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 209746
Source Name: Service Control Manager
Time Written: 20110827142037.099800-000
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: Felix-PC
Event Code: 102
Message: Windows (2688) Windows: Das Datenbankmodul (6.01.7601.0000) hat eine neue Instanz gestartet (0).
Record Number: 53521
Source Name: ESENT
Time Written: 20110726161204.000000-000
Event Type: Informationen
User: 

Computer Name: Felix-PC
Event Code: 5617
Message: Die Subsysteme des Windows-Verwaltungsinstrumentationsdienstes wurden erfolgreich initialisiert.
Record Number: 53520
Source Name: Microsoft-Windows-WMI
Time Written: 20110726161200.000000-000
Event Type: Informationen
User: 

Computer Name: Felix-PC
Event Code: 5611
Message: Vom Windows-Verwaltungsinstrumentationsdienst wurde ein inkonsistentes Herunterfahren des Systems festgestellt.
Record Number: 53519
Source Name: Microsoft-Windows-WMI
Time Written: 20110726161157.000000-000
Event Type: Informationen
User: 

Computer Name: FELIX-PC
Event Code: 0
Message: Der Dienst wurde gestartet.
Record Number: 53518
Source Name: SearchAnonymizer
Time Written: 20110726161155.000000-000
Event Type: Informationen
User: 

Computer Name: FELIX-PC
Event Code: 5615
Message: Der Windows-Verwaltungsinstrumentationsdienst wurde erfolgreich gestartet.
Record Number: 53517
Source Name: Microsoft-Windows-WMI
Time Written: 20110726161152.000000-000
Event Type: Informationen
User: 

=====Security event log=====

Computer Name: Felix-PC
Event Code: 4608
Message: Windows wird gestartet.

Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird.
Record Number: 41503
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20110506105747.918800-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Felix-PC
Event Code: 1100
Message: Der Ereignisprotokollierungsdienst wurde heruntergefahren.
Record Number: 41502
Source Name: Microsoft-Windows-Eventlog
Time Written: 20110506062210.937150-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Felix-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 41501
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20110506062208.940350-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Felix-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		FELIX-PC$
	Kontodomäne:		KINO
	Anmelde-ID:		0x3e7

Anmeldetyp:			5

Neue Anmeldung:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x248
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	 - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 41500
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20110506062208.940350-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Felix-PC
Event Code: 4647
Message: Benutzerinitiierte Abmeldung:

Antragsteller:
	Sicherheits-ID:		S-1-5-21-1445889084-2299264055-3788391365-1000
	Kontoname:		Felix
	Kontodomäne:		Felix-PC
	Anmelde-ID:		0x5984b

Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden.
Record Number: 41499
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20110506062207.614350-000
Event Type: Überwachung erfolgreich
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%CommonProgramFiles%\Microsoft Shared\Windows Live;C:\Program Files (x86)\PHP\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\Common Files\Roxio Shared\DLLShared\;C:\Program Files (x86)\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\QuickTime Alternative\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=4
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 23 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=1707
"RoxioCentral"=C:\Program Files (x86)\Common Files\Roxio Shared\10.0\Roxio Central36\
"PHPRC"=C:\Program Files (x86)\PHP\
"VBOX_INSTALL_PATH"=C:\Program Files\Oracle\VirtualBox\

-----------------EOF-----------------

BooWseR · 02.12.2011, 20:15

Die log:

Code:

Logfile of random's system information tool 1.09 (written by random/random)
Run by Felix at 2011-12-02 20:56:31
Microsoft Windows 7 Home Premium Service Pack 1
System drive C: has 133 GB (22%) free of 600 GB
Total RAM: 6141 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:56:38, on 02.12.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ICQ7.5\ICQ.exe
C:\Program Files (x86)\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Windows\SysWOW64\Ctxfihlp.exe
C:\Program Files (x86)\Alienware\AlienFX\AlienwareAlienFXController.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\DynDNS Updater\DynTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
C:\Program Files (x86)\Alienware\AlienFX\AlienFXHook32Mngr.exe
C:\Program Files (x86)\Hotspot Shield\bin\openvpntray.exe
C:\Program Files (x86)\Image-Line\FL Studio 8\FL_3GB.exe
C:\Program Files (x86)\Image-Line\FL Studio 8\FL_3GB.exe
C:\Program Files (x86)\Winamp\winamp.exe
C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 11\firefox.exe
C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 11\plugin-container.exe
C:\Users\Felix\Downloads\RSIT.exe
C:\Program Files (x86)\trend micro\Felix.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Felix\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: SHOUTcast Toolbar Search Class - {14f0d511-36a2-41ca-ae01-ba4f87282c97} - C:\Program Files (x86)\SHOUTcast Radio Toolbar\shoutcasttb.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LinkAirBrowserHelper HistoryTriggerBHO - {21A88CB9-84D2-4020-A2D1-B25A21034884} - C:\Program Files (x86)\LG Electronics\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Felix\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files (x86)\kikin\ie_kikin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [AlienFX Controller] "C:\Program Files (x86)\Alienware\AlienFX\AlienwareAlienFXController.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [avast] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware (registration)] regsvr32.exe /s "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamext.dll"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\Windows\is-GF0PD.exe" /REG /REGSVRMODE
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ7.5\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DynDNS Updater Tray Icon.lnk = C:\Program Files (x86)\DynDNS Updater\DynTray.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Free YouTube Download - C:\Users\Felix\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files (x86)\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files (x86)\kikin\ie_kikin.dll
O9 - Extra button: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files (x86)\ICQ7.6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files (x86)\ICQ7.6\ICQ.exe
O9 - Extra button: Senden an Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: Senden an &Bluetooth-Gerät... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files%20(x86)/Monopoly/Images/stg_drm.ocx
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files%20(x86)/Monopoly/Images/armhelper.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{8e0f1c38-2ca1-467f-bc2a-201cf47e9df3}: NameServer = 213.191.92.87 62.109.123.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{90A3DA17-1EC2-4B05-936B-584D0BDE6A33}: NameServer = 10.94.88.1
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DynDNS Updater - Dynamic Network Services, Inc. - C:\Program Files (x86)\DynDNS Updater\DynUpSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Hotspot Shield Service (hshld) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files (x86)\LogMeIn\x64\LMIGuardianSvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files (x86)\WinPcap\rpcapd.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Users\Felix\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Sony Ericsson PCCompanion - Avanquest Software - C:\Program Files (x86)\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files (x86)\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 14115 bytes

=========Mozilla firefox=========

Gestrichen, da zu lang!

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - "C:\Users\Felix\AppData\Local\Aptana Studio 3\AptanaStudio3.exe" "%1"
.vbs - open - %SystemRoot%\SysWow64\CScript.exe "%1" %*

======List of files/folders created in the last 1 month======

2011-12-02 20:56:31 ----D---- C:\rsit
2011-12-02 20:56:31 ----D---- C:\Program Files (x86)\trend micro
2011-12-02 15:33:45 ----A---- C:\Windows\is-GF0PD.exe
2011-11-29 00:42:05 ----D---- C:\Program Files (x86)\EmoticonsArt
2011-11-24 11:16:40 ----D---- C:\Bukkitcraft
2011-11-16 09:17:53 ----D---- C:\Android-Emulator
2011-11-13 13:56:22 ----D---- C:\Program Files (x86)\LogMeIn Hamachi
2011-11-12 02:22:34 ----D---- C:\Program Files (x86)\Steam
2011-11-09 20:06:16 ----D---- C:\Program Files (x86)\Common Files\Adobe
2011-11-09 20:06:16 ----D---- C:\Program Files (x86)\Adobe
2011-11-03 12:16:12 ----D---- C:\Program Files (x86)\ICQ7.6
2011-11-03 11:59:00 ----D---- C:\LGP990

======List of files/folders modified in the last 1 month======

2011-12-02 20:56:33 ----D---- C:\Windows\Temp
2011-12-02 20:56:31 ----D---- C:\Program Files (x86)
2011-12-02 20:55:19 ----D---- C:\Windows\SysWOW64\drivers
2011-12-02 20:53:24 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2011-12-02 20:40:43 ----D---- C:\Windows\tracing
2011-12-02 20:40:24 ----D---- C:\Windows
2011-12-02 17:00:46 ----D---- C:\Windows\inf
2011-12-02 15:38:56 ----D---- C:\Users\Felix\AppData\Roaming\.minecraft
2011-12-02 15:31:32 ----D---- C:\Users\Felix\AppData\Roaming\DAEMON Tools Lite
2011-12-02 15:31:31 ----D---- C:\Users\Felix\AppData\Roaming\Winamp
2011-12-02 15:31:25 ----D---- C:\Users\Felix\AppData\Roaming\uTorrent
2011-12-02 15:31:25 ----D---- C:\Users\Felix\AppData\Roaming\TS3Client
2011-12-02 15:31:25 ----D---- C:\Users\Felix\AppData\Roaming\Skype
2011-12-02 15:31:24 ----D---- C:\ProgramData\LogMeIn
2011-12-02 15:31:10 ----D---- C:\Windows\Panther
2011-12-02 15:31:03 ----D---- C:\Windows\Minidump
2011-12-02 15:31:03 ----D---- C:\Windows\Logs
2011-12-02 15:31:03 ----D---- C:\Windows\debug
2011-12-02 15:27:33 ----RD---- C:\Program Files
2011-12-02 14:28:09 ----D---- C:\Windows\System32
2011-12-02 14:25:27 ----D---- C:\Users\Felix\AppData\Roaming\ICQ
2011-12-02 00:16:48 ----D---- C:\Windows\SysWOW64
2011-12-01 20:04:56 ----D---- C:\Windows\pss
2011-12-01 19:50:16 ----D---- C:\Windows\Prefetch
2011-11-29 22:58:13 ----SHD---- C:\System Volume Information
2011-11-28 19:01:23 ----A---- C:\Windows\SysWOW64\aswBoot.exe
2011-11-25 19:36:12 ----SD---- C:\Users\Felix\AppData\Roaming\Microsoft
2011-11-24 11:17:46 ----D---- C:\Neuer Ordner (3)
2011-11-17 09:15:42 ----A---- C:\Windows\SysWOW64\lgAxconfig.ini
2011-11-13 13:56:38 ----SHD---- C:\Windows\Installer
2011-11-13 13:06:44 ----D---- C:\ProgramData\Roxio
2011-11-12 21:55:52 ----D---- C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 11
2011-11-12 02:25:56 ----D---- C:\Program Files (x86)\Common Files\Steam
2011-11-10 13:40:27 ----D---- C:\Windows\winsxs
2011-11-10 13:38:26 ----D---- C:\Program Files (x86)\Common Files\System
2011-11-09 20:06:18 ----D---- C:\ProgramData\Adobe
2011-11-09 20:06:16 ----D---- C:\Program Files (x86)\Common Files
2011-11-07 19:12:54 ----A---- C:\Windows\SysWOW64\PnkBstrB.exe
2011-11-05 00:06:38 ----D---- C:\Program Files (x86)\Everest Poker
2011-11-04 21:56:05 ----D---- C:\Program Files (x86)\JDownloader
2011-11-03 12:24:53 ----D---- C:\ProgramData\LGMOBILEAX
2011-11-03 12:16:26 ----HD---- C:\Program Files (x86)\InstallShield Installation Information
2011-11-03 12:16:08 ----D---- C:\Program Files (x86)\ICQ7.5
2011-11-03 12:00:00 ----D---- C:\Program Files (x86)\LG Electronics

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

Braucht ihr die? Nein, oder? :D

-----------------EOF-----------------

BooWseR · 02.12.2011, 20:15

Und die Malware log:

Code:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8290

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

02.12.2011 20:54:58
mbam-log-2011-12-02 (20-54-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 595854
Laufzeit: 1 Stunde(n), 37 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Users\Felix\AppData\Roaming\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\program files (x86)\image-line\toxic biohazard\toxic biohazard.dll (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\program files (x86)\metin2_germany ungepatched\mc.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\program files (x86)\microsoft games\age of empires ii\age2_x1\age2_x1.exe (Trojan.FakeMS) -> Not selected for removal.
c:\Users\Felix\AppData\Local\Temp\0.6652047066690363.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Felix\AppData\LocalLow\Sun\Java\deployment\cache\6.0\40\5a0fc8a8-3aed3dbf (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Felix\Desktop\sonstiges\bifrost 1.2.1d\LOIC.exe (PUP.HackTool.LOIC) -> Not selected for removal.
c:\Users\Felix\downloads\everest poker.exe (PUP.Casino) -> Not selected for removal.
c:\Users\Public\downloads\Postal 2\apocalypseweekend\System\ori\postal2.exe (Virus.Tenga) -> Not selected for removal.

Viel Spaß beim Lesen.

P.s.: Was sind diese Tenga Viren eigentlich? Hab das Gefühl ich hab mir die bei einer Lan eingefangen, vorher hat der Scanner nie etwas gesagt. Zudem laufen die .exe normal.

**Leonixx** · 02.12.2011, 20:40

Du treibst du wohl gerne auf russischen Seiten rum?

.ru

Beide Dateien bei Virustotal prüfen.

C:\Program Files (x86)\Image-Line\FL Studio 8\FL_3GB.exe

C:\Program Files (x86)\kikin\ie_kikin.dll

Zitat:

Was sind diese Tenga Viren eigentlich?

Bei dir habe so ein bisschen den Verdacht, dass manche Spiele nicht ganz seriös erworben wurden, oder?

BooWseR · 02.12.2011, 23:12

Wenn ein Spiel in der Bundesrepublik nicht so ohne weiteres erworben werden darf, man nehme Postal 2, muss man doch auf Sicherheitskopien zurückgreifen.

Die russichen Seiten kommen von QIP, welches ich genutzt hatte um HTML Codes via ICQ zu versenden, klappt mit QIP aber nicht sonderlich, darum habe ich jetzt ein neues Programm. Nur leider hatte sich QIP reingefressen.
Dass etwas mit FL nicht stimmt möchte ich mal ausschließen, es sei denn der Tenga sitzt da drin. Soll sich ja verbreiten wie Schimmelpilz.
Jedenfalls hat Avast nichts gemeldet von FL und ich habe heute noch damit gearbeitet.
Die AOE2 Datei ist zwar ein Crack, aber nur aus Bequemlichkeit, hab doch keine Lust immer die CD reinzulegen. Läuft rund und hatte bis jetzt keinen negativen Effekt.
Was diese Kikin ist frag ich mich jedoch auch, kann mich an kein gleichnamiges Programm erinnern, finde auch auf meinem Rechner keines.

FL Scan
ie_kikin ist sauber laut Virustotal, habe das Programm jedoch trotzdem deinstalliert. Schien ein Crashreporter zu sein.

Aber ein gutes hatte die Sache schonmal. Durch CCleaner schmiert mein Rechner nun nichtmehr mittels Bluescreen ab wenn ich ihn 30 Minuten unbenutzt stehen lasse. Super!

Lieben Gruß