Reebot.exe

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Pan-Nix, 20.07.2007.

  1. #1 Pan-Nix, 20.07.2007
    Pan-Nix

    Pan-Nix Erfahrener Benutzer

    Dabei seit:
    03.03.2007
    Beiträge:
    365
    Zustimmungen:
    0
    Hallo miteinander

    Habe gerade mal nen Hijack this gemacht, und wurde auf einen eintrag aufmerksam der von der auswertungs seite als schädlich eingestuft wurde.....

    Habe schon versucht informationen zu bekommen aber irgendwie steht überall was anderes zu dem thema.

    Ich kann auch keine verdächtigen prozesse oder andere typischen merkmale für eine infektion finden........Weiß nur das ich die vorherr nicht auf dem rechner hatte, habe vor ca 5 tagen mein sys neu aufgesetzt und vorher war derartiges nicht zu finden....

    Vielleicht kann einer von euch mir weiterhelfen?


    Hier mal der wortlaut der seite:

    O4 - Startup: Reboot.exe Fuzzy Algorithmusprüfung (2.82 / 5.00), Schädlich


    Und der Log:



    Logfile of HijackThis v1.99.1
    Scan saved at 16:59:01, on 20.07.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\windows\Explorer.EXE
    E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
    E:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
    C:\windows\system32\CTHELPER.EXE
    C:\windows\system32\ctfmon.exe
    E:\Programme\Creative\SBAudigy4\Entertainment Center\RcMan.exe
    E:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
    E:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
    E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Dokumente und Einstellungen\ADMIN\Desktop\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
    O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
    O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
    O4 - HKLM\..\Run: [CTSysVol] e:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
    O4 - HKCU\..\Run: [RemoteCenter] "e:\Programme\Creative\SBAudigy4\Entertainment Center\RcMan.exe"
    O4 - HKCU\..\Run: [AtiTrayTools] "e:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
    O4 - HKCU\..\Run: [Creative MediaSource Go] E:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB
    O4 - Startup: Reboot.exe
    O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
    O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
    O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
    O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
    O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
    O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
    O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
    O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
    O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
    O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
    O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1184275494875
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C823A9A0-948B-4276-8F26-B58E9A3BCB51}: NameServer = 213.191.74.18 213.191.92.86
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe




    Greetz
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 xandros, 20.07.2007
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    lass die Datei mal bei http://www.virustotal.com/ checken. Es muss sich hierbei nicht zwangsläufig um einen Schädling handeln....
     
  4. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hi,

    hier was zu Reboot.exe --> Klick

    Wie man dem Artikel entnehmen kann wird sie nicht beim Systemstart benötigt.
    Also kannst du unter Start-->Ausführen-->msconfig-->Systemstart nach dem Eintrag ma schauen und ihn ggf. rausnehmen.

    Das mit der Fuzzy Algorithmusprüfung ist so ne Sache , da die Auswertung von einem Script kommt, kann man darauf nicht immer vertrauen , da das Script t sehr anfällig auf solche Einträge ist und es somit oft zu einem Fehlalarm diesbezüglich kommt.

    Such ma mit der Suche nach der Datei:
    Start --> Suchen --> Dateien und Ordner --> Weitere Optionen
    Haken bei den ersten Dreien, also

    * Systemordnern durchsuchen
    * versteckte Elemente durchsuchen
    * Unterordner durchsuchen

    Dann such nach der reboot.exe und falls gefunden lade sie bei dem Onlinedienst hoch , den der Kollege gepostet hat.

    Mfg
     
  5. #4 Pan-Nix, 20.07.2007
    Pan-Nix

    Pan-Nix Erfahrener Benutzer

    Dabei seit:
    03.03.2007
    Beiträge:
    365
    Zustimmungen:
    0
    HI

    Also habe den eintrag gefunden habs über die suche gemacht er liegt im Autostart ordner....

    Habe die datei nun mal in den scanner gepack und lass den scann gerade durchlaufen.....

    Werd dann euch dann bescheid geben.......Danke schon mal für erur hilfe :)

    Greetz
     
  6. #5 Pan-Nix, 20.07.2007
    Pan-Nix

    Pan-Nix Erfahrener Benutzer

    Dabei seit:
    03.03.2007
    Beiträge:
    365
    Zustimmungen:
    0
    Hier die auswertung von Virus Total



    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.20.0 2007.07.20 no virus found
    AntiVir 7.4.0.44 2007.07.20 no virus found
    Authentium 4.93.8 2007.07.19 no virus found
    Avast 4.7.997.0 2007.07.19 no virus found
    AVG 7.5.0.476 2007.07.19 Potentially harmful program HackTool.BVP
    BitDefender 7.2 2007.07.20 Spyware.Tool.Reboot.E
    CAT-QuickHeal 9.00 2007.07.20 no virus found
    ClamAV devel-20070416 2007.07.20 no virus found
    DrWeb 4.33 2007.07.20 no virus found
    eSafe 7.0.15.0 2007.07.19 no virus found
    eTrust-Vet 30.8.3796 2007.07.20 no virus found
    Ewido 4.0 2007.07.20 Not-A-Virus.RiskTool.Win32.Reboot.e
    FileAdvisor 1 2007.07.20 High threat detected
    Fortinet 2.91.0.0 2007.07.20 HackerTool/Reboot
    F-Prot 4.3.2.48 2007.07.20 no virus found
    F-Secure 6.70.13030.0 2007.07.20 no virus found
    Ikarus T3.1.1.8 2007.07.20 not-a-virus:RiskTool.Win32.Reboot.e
    Kaspersky 4.0.2.24 2007.07.20 not-a-virus:RiskTool.Win32.Reboot.e
    McAfee 5078 2007.07.19 potentially unwanted program Reboot-Generic
    Microsoft 1.2704 2007.07.20 no virus found
    NOD32v2 2410 2007.07.20 no virus found
    Norman 5.80.02 2007.07.20 no virus found
    Panda 9.0.0.4 2007.07.20 Generic Malware
    Sophos 4.19.0 2007.07.17 no virus found
    Sunbelt 2.2.907.0 2007.07.19 no virus found
    Symantec 10 2007.07.20 no virus found
    TheHacker 6.1.7.149 2007.07.18 Aplicacion/Reboot.e
    VBA32 3.12.2.1 2007.07.19 no virus found
    VirusBuster 4.3.26:9 2007.07.20 no virus found
    Webwasher-Gateway 6.0.1 2007.07.20 Riskware.Tool.Reboot.E
    Additional information
    File size: 334336 bytes
    MD5: bcc8b707e6b527c4cce4b30d535cbc5b
    SHA1: 30cf1876be9e2c6d0a60535506b5d7b3303c1820
    Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=bcc8b707e6b527c4cce4b30d535cbc5b
     
  7. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  8. #6 xandros, 20.07.2007
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    auch nicht wirklich eindeutig, aber wenn schon mehrere Scanner auf ein potenzielles Risiko hinweisen würd ich das schon fixen.
    Noch dazu, weil Windows diese Datei wohl nicht zwingend benötigt.
     
  9. #7 Pan-Nix, 20.07.2007
    Pan-Nix

    Pan-Nix Erfahrener Benutzer

    Dabei seit:
    03.03.2007
    Beiträge:
    365
    Zustimmungen:
    0
    Jo also habe den eintrag nun gefixt, sieht alles wieder in ordnung aus.....


    Danke für eure hilfe nochmal :)


    Greetz


    Probleme wurden erfolgreich gelöst , also kann hier CLOSED werden :]
     
Thema: Reebot.exe
Besucher kamen mit folgenden Suchen
  1. risktool.win32.reboot.e