Virus Generic.Malware.Tk.52B1D467 lässt sich nicht entfernen ... Einstellungen

[Tri-City-Maniac]

Hallo,

auf meinem Notebook hat der aktuelle Bitdefender Onlinescanner heute folgenden Virus gefunden:

Generic.Malware.Tk.52B1D467

Im WWW konnte ich bisher keine Information dazu abrufen. Bitdefender kann den Virus nicht löschen. F-Secure findet ihn gar nicht erst.

Der Virus sitzt im Verzeichnis windows\mui\fallback\0414\ und hat dort die Datei taskkill.exe.mui befallen.

Die Datei selbst scheint benötigt zu werden, im Verzeichnics \fallback\ gibt es neben dem Verzeichnis \0414\ noch andere Verzeichnisse, zum Beispiel \0413\ - \0419\ - \0C0A\ usw...

Die Datei taskkill.exe.mui hat in jedem dieser Verzeihnisse allerdings eine unterschiedliche Größe, also kann ich sie nicht einfach aus einem anderen Verzeichnis nach \0414\ kopieren.

Cu

Tom

Der Beitrag wurde von Tri-City-Maniac bearbeitet: 02.02.2007, 20:14

[Gast_rock_*]

was soll denn das sein?

Der Virus sitzt im Verzeichnis windows\mui\fallback\0414\ und hat dort die Datei taskkill.exe.mui befallen ...

poste sicherheitshalber einen hijackthis log.

[Tri-City-Maniac]

Ok ... hier ...

Logfile of HijackThis v1.99.1
Scan saved at 20:04:30, on 02.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\avmclient\avmbtservice.exe
C:\Program Files\avmclient\panapp.exe
C:\Program Files\avmclient\AvmObexService.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE
C:\Program Files\FIDTPU\WIN2K\FTMSFLTU.EXE
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\avmclient\bluefritz.exe
C:\Program Files\avmclient\AvmObex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Panasonic\TouchPad\Touchpad.exe
C:\Program Files\avmclient\AvmObex.exe
C:\WINDOWS\system32\RButton.exe
C:\WINDOWS\system32\wscntfy.exe
D:\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bitdefender.de/bd/site/page.php
N3 - Netscape 7: user_pref("browser.startup.homepage", "file:///C:/pana_sonix/grafix/panastart/panastart.htm"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\ejhp2olg.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNe
tscape_Germany.src"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\ejhp2olg.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\system32\hkeyman.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PRunOnce] C:\util\prunonce\PRunOnce.exe
O4 - HKLM\..\Run: [PCinfo] C:\Program Files\Panasonic\PCINFO\SetDiag.exe /FirstLogin
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Panasonic HotKey Manager] "C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE"
O4 - HKLM\..\Run: [FTMSFLT(USB)] C:\Program Files\FIDTPU\WIN2K\FTMSFLTU.EXE
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVMBlueClient] C:\Program Files\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Program Files\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Touch Pad utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Program Files\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Program Files\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Program Files\avmclient\AvmObexService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Ach ja, dass ist nicht mein Laptop um den es geht, sondern der eines Bekannten aus nem anderen Forum ... das Logfile macht mich dieses Mal aber nicht wirklich schlauer, da es hier wegnig Anzeichen eines "Schädlings" gibt. Eventuell ein Fehlalarm des Onlinescanners?

Der Beitrag wurde von Tri-City-Maniac bearbeitet: 02.02.2007, 20:42

[Gast_rock_*]

hey tri,

ja..ich vermute auch einen fehlalarm.....

jedoch kann ich dir trotzdem nicht sagen was das sein soll, welches progframm und was es macht:

fallback\ gibt es neben dem Verzeichnis \0414\ noch andere Verzeichnisse, zum Beispiel \0413\ - \0419\ - \0C0A\

einzelne datein könnt ihr ja bei virustotal prüfen lassen....
www.virustotal.com

ebenso diesen eintrag mal checken: soviel gleichnamige einträge hab ich eigentlich auch noch net gesehen...
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll könnte bitdefender angelegt haben oder es ist ein backdoor oder spyware??? kanns nicht 100% sicher agen!

ich hab bitdefender onlinescan auch öfters genutzt...diese einträge hab ich NIE gemerkt. also wenn man es von daher vermutet...

prüfe daher diese dll und diese taskill.exe.mui beim einzelonlinecheck von vtotal.



Der Beitrag wurde von rock bearbeitet: 03.02.2007, 11:05

[Tri-City-Maniac]

Thanks ... hier das Ergebnis von virustotal ...

[Gast_rock_*]

na das sagt wohl alles!

wenn ihr bitdefender online nicht mehr verwendet könnte man alle einträge davon entfernen. zwecks aufräumen aber nurmehr.

diese socks datei mit den vielen gleichen einträgen würd ich auch noch prüfen vorher.

zum allg. reinigen:

www.ccleaner.com

[Tri-City-Maniac]

Denke mal, dass die Socks-Einträge nach Entfernen von Bitdefender weg sind ... mal sehen.

Also wenn ich jetzt nach alldem gehe, dann sollte/könnte man die taskkill.exe.mui da lassen, wie sie ist. Laut User ist die Mui datei für die norwegische Sprache zuständig ... ich kenne nur die taskkill.exe und mui ...