Antivirus 2009/ Virtumonde

squirrel22 · 24.12.2008, 11:02

Hallo nochmals!

Folgendes ist passiert: Pop Up von "Antivirus 2009". Hab es immer weggeklickt, aber es scheint doch was installiert zu haben, oder es war vorher schon was da. Counterspy drüberlaufen lassen, hat Virtumonde erkannt und in Quarantäne gesteckt. Das hat leider nichts genützt. Ist immer noch da... Habe auch einige dlls gelöscht (rujudagu, hatakuvu, etc.), nutzt natürlich auch nichts.
Bitte um Hilfe, anbei die Logs von hijack und gmer:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:48:41, on 24.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Apoint2K\Apntex.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Sunbelt Software\CounterSpy\SBAMUI.exe
C:\Programme\Messenger\msmsgs.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {d9bc7ecb-3284-4c40-8772-acb2df98094c} - C:\WINDOWS\system32\vefukufe.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SBAMTray] C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
O4 - HKLM\..\Run: [CPM5c982117] Rundll32.exe "c:\windows\system32\hatakuvu.dll",a
O4 - HKLM\..\Run: [nogiwiyibe] Rundll32.exe "C:\WINDOWS\system32\rujudagu.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [nogiwiyibe] Rundll32.exe "C:\WINDOWS\system32\rujudagu.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O20 - AppInit_DLLs: c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\dikemude.dll c:\windows\system32\robejaku.dll c:\windows\system32\hatakuvu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\robejaku.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\robejaku.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Cvpnmim - Unknown owner - (no file)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: CounterSpy Antispyware (SBAMSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 9944 bytes

GMER:

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Autostart scan 2008-12-24 10:51:39
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
Windows@AppInit_DLLs = c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\dikemude.dll c:\windows\system32\robejaku.dll c:\windows\system32\hatakuvu.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aawservice@ = C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
Apple Mobile Device@ = "C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
Bonjour Service@ = C:\Programme\Bonjour\mDNSResponder.exe /*file not found*/
CVPND@ = "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"
MCVSRte@ = c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe /Embedding
MpfService@ = C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
MskService@ = C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
NVSvc@ = %SystemRoot%\system32\nvsvc32.exe
Pml Driver HPZ12@ = C:\WINDOWS\system32\HPZipm12.exe
SBAMSvc@ = "C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe"
SoundMAX Agent Service (default)@ = C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ApointC:\Programme\Apoint2K\Apoint.exe = C:\Programme\Apoint2K\Apoint.exe
@AGRSMMSGAGRSMMSG.exe = AGRSMMSG.exe
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@CpqsetC:\Programme\HPQ\Default Settings\cpqset.exe  ?     ??? ??B????| ????   ??B         ? ????B ? ???? = C:\Programme\HPQ\Default Settings\cpqset.exe  ?     ??? ??B????| ????   ??B         ? ????B ? ????
@SunJavaUpdateSchedC:\Programme\Java\j2re1.4.2_05\bin\jusched.exe = C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
@UpdateManager"C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r = "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
@eabconfg.cplC:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start /*file not found*/ = C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start /*file not found*/
@VSOCheckTask"c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask = "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
@VirusScan Online"c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" = "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
@MCAgentExec:\PROGRA~1\mcafee.com\agent\mcagent.exe = c:\PROGRA~1\mcafee.com\agent\mcagent.exe
@MCUpdateExeC:\PROGRA~1\mcafee.com\agent\mcupdate.exe = C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
@MSKAGENTEXEC:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe = C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
@MSKDetectorExeC:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup = C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
@MPFExeC:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe = C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
@HP Software UpdateC:\Programme\HP\HP Software Update\HPWuSchd2.exe = C:\Programme\HP\HP Software Update\HPWuSchd2.exe
@AppleSyncNotifierC:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe = C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
@QuickTime Task"C:\Programme\QuickTime\qttask.exe" -atboottime = "C:\Programme\QuickTime\qttask.exe" -atboottime
@iTunesHelper"C:\Programme\iTunes\iTunesHelper.exe" = "C:\Programme\iTunes\iTunesHelper.exe"
@Adobe Reader Speed Launcher"C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" = "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
@SBAMTrayC:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe = C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
@CPM5c982117Rundll32.exe "c:\windows\system32\hatakuvu.dll",a = Rundll32.exe "c:\windows\system32\hatakuvu.dll",a
@nogiwiyibeRundll32.exe "C:\WINDOWS\system32\rujudagu.dll",s = Rundll32.exe "C:\WINDOWS\system32\rujudagu.dll",s

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@MSKAGENTEXEC:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe = C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
@MsnMsgr"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background /*file not found*/ = "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@SSODL = c:\windows\system32\hatakuvu.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler@{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} = c:\windows\system32\hatakuvu.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*CPL-Erweiterung für Anzeigeverschiebung*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Eigenschaftenseite für vorherige Versionen*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Vorherige Versionen*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) = 
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{DEE12703-6333-4D4E-8F34-738C4DCC2E04} /*RecordNow! SendToExt*/C:\Programme\Sonic\RecordNow!\shlext.dll = C:\Programme\Sonic\RecordNow!\shlext.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programme\iTunes\iTunesMiniPlayer.dll = C:\Programme\iTunes\iTunesMiniPlayer.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
FileEraserShellExt@{D29FEC44-36A2-4865-AE5E-175C61587F1D} = C:\Programme\Sunbelt Software\CounterSpy\SBFE.DLL
SBAMScanShellExt@{D47F1671-0EAA-4c02-8AC9-960BB08DB951} = C:\Programme\Sunbelt Software\CounterSpy\SBAMScanShellExt.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{CFC7205E-2792-4378-9591-3879CC6C9022} = c:\progra~1\mcafee.com\vso\mcvsshl.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
FileEraserShellExt@{D29FEC44-36A2-4865-AE5E-175C61587F1D} = C:\Programme\Sunbelt Software\CounterSpy\SBFE.DLL
SBAMScanShellExt@{D47F1671-0EAA-4c02-8AC9-960BB08DB951} = C:\Programme\Sunbelt Software\CounterSpy\SBAMScanShellExt.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{CFC7205E-2792-4378-9591-3879CC6C9022} = c:\progra~1\mcafee.com\vso\mcvsshl.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{18DF081C-E8AD-4283-A596-FA578C2EBDC3}C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll = C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
@{d9bc7ecb-3284-4c40-8772-acb2df98094c}C:\WINDOWS\system32\vefukufe.dll = C:\WINDOWS\system32\vefukufe.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\scrnsave.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = h**p://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.orf.at/ = h**p://www.orf.at/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = C:\Programme\Bonjour\mdnsNSP.dll /*file not found*/

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart >>>
Adobe Gamma Loader.lnk = Adobe Gamma Loader.lnk
HP Digital Imaging Monitor.lnk = HP Digital Imaging Monitor.lnk
Microsoft Office.lnk = Microsoft Office.lnk
VPN Client.lnk = VPN Client.lnk

---- EOF - GMER 1.0.14 ----

So..hoffe dass alle bösen Links draussen sind

Danke schon mal für Eure Hilfe!!
lg & frohe Weihnachten,
Squirrel

john.doe · 24.12.2008, 15:21

Hallo und

1.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):

Code:

ATTFilter

Java (deine Version ist aus der Zeit, als die Männer noch Keulen schleppten)
Counterspy
Ad Aware

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\vefukufe.dll
C:\WINDOWS\system32\rujudagu.dll
c:\windows\system32\zahuzihi.dll
C:\WINDOWS\system32\dikemude.dll
c:\windows\system32\robejaku.dll
c:\windows\system32\hatakuvu.dll

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

Frohe Weihnachten, andreas

squirrel22 · 25.12.2008, 08:30

Hi!
Danke vielmals für Deine Hilfe auch an einem Feiertag!!
So.. habe folgende dinge bereits gemacht:

1) Deinstallieren von Java, Counterspy und Ad Aware.
2) Dll´s überprüfen lassen.
3) systemwiederherstellung deaktiviert.

yeneriho:

Code:

ATTFilter

Datei yeneriho.dll empfangen 2008.12.25 07:43:44 (CET)
Status:     Beendet   
Ergebnis: 0/39 (0%)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	-
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eSafe	7.0.17.0	2008.12.24	-
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	-
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	-
Rising	21.09.30.00	2008.12.25	-
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	-
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 2154 bytes
MD5...: 145b08933d132404cf9d8d7244090601
SHA1..: c2ea74fe16355a5a996cff1b2a9429853bdbddd4
SHA256: d32b9cd9d80fd11c55d7418dda623211d1bc3433d634444f94aa73ed8ffeb119
SHA512: 2fdd77ef5ae91b93b0f24895ea259bfc54b20aba729fc079ec869c551d5d7e248efd3ef96d3adef275dabd137e3c834d6fbdb0882488d0084434426c4f35befb
ssdeep: 48:qSYZLvPFZ23XUy06LmQIgHzdWNgOx/9TGH/CbwQn5:IpbpIzvHRtm9TkC3
PEiD..: -
TrID..: File type identificationHyperText Markup Language with DOCTYPE (80.6%)HyperText Markup Language (19.3%)
PEInfo: -

zilebobi:

Code:

ATTFilter

Datei zilebobi.dll empfangen 2008.12.25 07:47:24 (CET)
Status:     Beendet   
Ergebnis: 13/39 (33.34%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	TR/Vundo.SPS
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	Win32:Trojan-gen {Other}
AVG	8.0.0.199	2008.12.24	SHeur2.GOC
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eSafe	7.0.17.0	2008.12.24	Suspicious File
eTrust-Vet	31.6.6276	2008.12.24	Win32/Vundo.BQN
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	Win32:Trojan-gen {Other}
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!AH
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Cloaked Malware
Rising	21.09.31.00	2008.12.25	AdWare.Win32.Undef.dxc
SecureWeb-Gateway	6.7.6	2008.12.24	Trojan.Vundo.SPS
Sophos	4.37.0	2008.12.25	Troj/Virtum-Gen
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	Trojan.Vundo
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 61440 bytes
MD5...: f76a1be35c495d6c52e0b464b86f0b4a
SHA1..: 68242ddcab812a6b662c1ba25978305c3ae087f1
SHA256: 0c66b4d20ff3d1d56038707dc68890838fd46f19a1ea9a602c421157a51377b3
SHA512: b451905682c452ae865af4ad61a217736a41ce912bb492fb15900ff2ccbe30753c5f94bd8d7823e1e2773d1871f42cda1868092c72d49768b81540c08ae50b93
ssdeep: 768:Z2IDbX1rihwmtkGfX1Hle/g6pkCBdwN9PURYJ5ejV/C9Cwxdt/N0cCB1Q3T0+aRh:ZbDblrihTr/aZk5yCdt/gST03JWeHO4
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (58.6%)Clipper DOS Executable (13.8%)Generic Win/DOS Executable (13.7%)DOS Executable Generic (13.7%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x10001346timedatestamp.....: 0x3c09dfd4 (Sun Dec 02 08:01:24 2001)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x6000 0x5000 6.90 db398413f2e5741d23bfd72305d99881.rdata 0x7000 0x9000 0x9000 7.98 cc78160fd93b9c0dedc77f0d0b68fc6cDATA 0x10000 0xd000 0x600 3.17 cab8ee699c59a69fa4cfab636cf48bf4( 2 imports ) > user32.dll: LoadAcceleratorsW, TrackPopupMenuEx, LoadCursorW, SetDlgItemInt, GetClipboardData, CheckDlgButton, MessageBoxW, RegisterClassExW, EnableWindow, EnableMenuItem, TranslateMessage, LoadStringW, InvalidateRect, UpdateWindow, SetWindowTextW, GetMessageW, ShowWindow, DefWindowProcW, CheckMenuItem, LoadIconW, DrawTextW, ChildWindowFromPoint> KERNEL32.DLL: GetProfileStringW, HeapAlloc, GetProcAddress, WriteProfileStringW, GetProfileIntW, GlobalFree, CloseHandle, lstrcpyW, GlobalAlloc, ResetEvent, GetStartupInfoW, GetCommandLineW, lstrlenW, lstrcmpW, ExitProcess( 0 exports ) 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=63369FBD00371BA3F055003C68A3BE000DB5806F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=63369FBD00371BA3F055003C68A3BE000DB5806F</a>

zujevuho:

Code:

ATTFilter

Datei zujevuho.dll empfangen 2008.12.25 07:50:15 (CET)
Status:     Beendet   
Ergebnis: 13/39 (33.34%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	Generic12.ADBS
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	Trojan.Virtumod.1569
eSafe	7.0.17.0	2008.12.24	Suspicious File
eTrust-Vet	31.6.6276	2008.12.24	Win32/Vundo.BQJ
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	PossibleThreat
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	not-a-virus:AdWare.Win32.Virtumonde.AIGJ
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!G
NOD32	3716	2008.12.24	Win32/Adware.Virtumonde
Norman	5.80.02	2008.12.24	W32/Virtumonde.AIGJ
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Fraudulent Security Program
Rising	21.09.31.00	2008.12.25	AdWare.Win32.Undef.dxq
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	Troj/Virtum-Gen
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	Trojan.Vundo
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 96917 bytes
MD5...: 810f064da71fe35c509f665634fd1f9b
SHA1..: 2488cd5f85b8c6fdfcfd997502ec2531b63ddec8
SHA256: a809c33f095dd57d01c124ec98e12d4aae611994025866a1b6814d6ba8dc1836
SHA512: a4f123cae2e71396d2dcbbf8fe0474643c9de083e92850e28f63da558c0fb816be6afb24d26c975dc841cb0d8259d7284208e1da70d7f990abecd656d00446a5
ssdeep: 1536:lsJ+OYyqnyjxLR4S8hMuZKPLDrT8AGDxQ27/0hkMCGbU1yLMpopjt6ZlZaSGao1+:lsJ+OPqiffuZKPLAAUW27yBySsicfJq4
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (51.2%)Win16/32 Executable Delphi generic (12.4%)Clipper DOS Executable (12.1%)Generic Win/DOS Executable (12.0%)DOS Executable Generic (12.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x10005298timedatestamp.....: 0x2b4d4fce (Fri Jan 08 09:56:30 1993)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5CODE 0x1000 0x7000 0x5600 6.85 500f6537be3d9bdd4f78303b63712b2aDATA 0x8000 0x12000 0x11600 7.99 3032f6ff8fae0fa93a16e1fda128444e.rdata 0x1a000 0x9000 0x800 1.97 43001599584cf019c70eda6096341ce7( 4 imports ) > gdi32.dll: CreatePalette, SetBkMode, RestoreDC, GetStockObject, SaveDC> KERNEL32.DLL: lstrlenW, GlobalAlloc, lstrcmpW, GetCommandLineW, GetStartupInfoW, GetProcAddress, ResetEvent, ExitProcess, WriteProfileStringW, GetModuleHandleA, SetEvent, CreateThread> msvcrt.dll: _except_handler3, __set_app_type, _wcsrev, srand, memmove, wcslen, _XcptFilter, _acmdln, __p__fmode> GDI32.DLL: SetLayout, CreateCompatibleBitmap( 0 exports ) 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=898F78B3958476F27AF80181005375007430957E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=898F78B3958476F27AF80181005375007430957E</a>

vefukufe:

Code:

ATTFilter

Datei vefukufe.dll empfangen 2008.12.25 07:53:25 (CET)
Status:     Beendet   
Ergebnis: 6/39 (15.39%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	-
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eSafe	7.0.17.0	2008.12.24	Suspicious File
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!AH
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	Suspicious file
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Fraudulent Security Program
Rising	21.09.31.00	2008.12.25	Trojan.DL.Win32.Undef.ctm
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	Troj/Virtum-Gen
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	-
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 65284 bytes
MD5...: 8905d3fa4c9e8da4ad52cabafee983b4
SHA1..: 18dd5a48e3620296a0b21b25e4ef08fd6579b4db
SHA256: a29a8f65129a6f5a81c135ad6ece1ea58cfe5657f84a633fb6057291d09a4d83
SHA512: 3c679002112611bd22f223c467751e91e7ef91297b0fe4c9ca30e5af65284b062db51bbc6d20e546bf1124305cd11bac3eefe4feea96b007ef3f22c8b4527967
ssdeep: 1536:hg1vEWupSRmfnikKyBpuorQnMEb3nOqE5Z40VC:heju4Rm6kKqhO3njE5Z4YC
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (58.6%)Clipper DOS Executable (13.8%)Generic Win/DOS Executable (13.7%)DOS Executable Generic (13.7%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x100059fbtimedatestamp.....: 0x45faf4ab (Fri Mar 16 19:48:59 2007)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5CODE 0x1000 0x7000 0x5200 6.89 e79e3bf814fb5098c38182c61ed3840d.data 0x8000 0xa000 0x9200 7.97 64e14db8248b387ddd5287df72a8f957DATA 0x12000 0xb000 0xa00 3.16 9f1d037c859dd7c0b3e90a8f7725b318( 3 imports ) > USER32.DLL: SetWindowLongW, CheckMenuRadioItem, GetClientRect, SetWindowTextW, DestroyWindow, RegisterClassExW, GetDesktopWindow, ScreenToClient, TrackPopupMenuEx, CheckDlgButton, MapWindowPoints, CheckMenuItem, DispatchMessageW, LoadMenuW, TranslateMessage, DefWindowProcW, CreateWindowExW, IsChild, DestroyMenu, GetWindowRect, CharNextA, MessageBoxW, OpenClipboard, LoadIconW, GetClipboardData, CreateDialogParamW, CharNextW, EnableMenuItem, GetSysColor> MSVCRT.DLL: __CxxFrameHandler, __setusermatherr, exit, toupper, _terminate@@YAXXZ, _errno, wcslen, _exit, _initterm, _acmdln, __1type_info@@UAE@XZ, _wcsrev, __p__fmode, wcsspn, _adjust_fdiv, __3@YAXPAX@Z, __getmainargs, _CxxThrowException, wcschr> KERNEL32.DLL: Sleep, LocalReAlloc, lstrcpynW, GlobalFree, GetProcAddress, lstrcmpW, LocalAlloc, GetModuleHandleA, lstrcpyW, VirtualAlloc, ExitProcess, GetStartupInfoA, ResetEvent, GetProfileStringW( 0 exports ) 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2926DCFA0460C09CFFA100EA47CEFA00EA15FEC2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2926DCFA0460C09CFFA100EA47CEFA00EA15FEC2</a>

Rujudagu = vefukufe (lt virustotal)

zahuzihi:

Code:

ATTFilter

Datei ztzahuzihixx.dll empfangen 2008.12.25 08:00:22 (CET)
Status:     Beendet   
Ergebnis: 4/39 (10.26%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	-
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eSafe	7.0.17.0	2008.12.24	Suspicious File
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!G
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Fraudulent Security Program
Rising	21.09.31.00	2008.12.25	Trojan.Win32.VUNDO.ceb
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	-
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 95995 bytes
MD5...: 281f0624c3a0cfb9a9e750ee5eb6e016
SHA1..: 9ecf6a3fe0d0b1a524ed4204b5e9bd751ff24f21
SHA256: 20455f556c8cd165a55ce61261fa836a52d10664ca843789a20b453d2fdcac16
SHA512: c5f7401fe9aa32f02498586875c80da86b23d9a647e4c4eff62d7c85fc7df6209efcee84a63d5cf4e6e77eb17639728ca47cc91d1262c34d1658ed5f3c84ae43
ssdeep: 1536:O/IBuAzbrf3Ktx19lESiCEpeFP9zCuy+c2Y4c0oGet03q9aOZKJyQoppAptc8La:OQzbz672SPUeb5y+cP4foGfONZcmppAa
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (38.5%)Win32 Dynamic Link Library (generic) (34.2%)Clipper DOS Executable (9.1%)Generic Win/DOS Executable (9.0%)DOS Executable Generic (9.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x10003061timedatestamp.....: 0x126c9c46 (Thu Oct 18 15:16:22 1979)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5CODE 0x1000 0x7000 0x5000 6.87 b19ee3682aa5cfffebc5659c076e0500DATA 0x8000 0x12000 0x11800 7.99 303000e09741ecfb7126eb69f7c3dbd8DATA 0x1a000 0x9000 0x800 2.88 890ac3eed9998694787fdbb3f3954394( 5 imports ) > MSVCRT.DLL: _acmdln, exit, time, _cexit, wcschr, _CxxThrowException, __getmainargs, __CxxFrameHandler, _XcptFilter, wcsspn> kernel32.dll: GlobalReAlloc, WaitForSingleObject, VirtualAlloc, GetProfileIntW, ResetEvent, lstrcatW, CreateThread, CloseHandle, LocalFree, GetProcAddress, GlobalFree, lstrcmpW, LocalAlloc, GetProfileStringW, GetStartupInfoA, ExitProcess> GDI32.DLL: DeleteObject, CreatePalette, SetBkColor, SetLayout, SetTextColor, SetPaletteEntries, GetStockObject, SetBkMode, GetTextColor, RestoreDC, Rectangle, ExtTextOutW> kernel32.dll: SetEvent, GetCommandLineA, GetModuleHandleA> gdi32.dll: SetTextAlign, CreateSolidBrush, CreateBitmap, GetTextMetricsW, BitBlt( 0 exports ) 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C7B9AF19FB25380E76380116FA75A000CE346ABF' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C7B9AF19FB25380E76380116FA75A000CE346ABF</a>

..... weiter im nächsten post....

squirrel22 · 25.12.2008, 08:43

...so, hier die nächsten..

habe beim durchsuchen noch ein paar mehr gefunden die alle 8 buchstaben haben und nach jedem zweiten buchstaben ein vokal. ist dadurch recht leicht erkennbar (habe aber nicht auf vollständigkeit überprüft).

robejaku:

Code:

ATTFilter

Datei robejaku.dll empfangen 2008.12.25 08:04:32 (CET)
Status: Beendet 
Ergebnis: 3/38 (7.89%)
 Filter 
Drucken der Ergebnisse  
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	-
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!G
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Fraudulent Security Program
Rising	21.09.31.00	2008.12.25	Trojan.DL.Win32.Undef.ctj
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	-
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 99024 bytes
MD5...: 39a6930509e3e19af20c47a75095cf86
SHA1..: 06db7d46b3cd73ab222aabc15359def0e30aa4f6
SHA256: 3ff63593a89011ba70b7601c92b3869e15278bfb257c3c4fc8134577703d8a23
SHA512: 25171f13acac5963edede72aa31f3b53c54693947973d931c73aaee48bc048bae1686600354ccd87c779a21bb0d86e7edd35ea07ac7788c997adc1398d93cd48
ssdeep: 3072:sxqwssvJvZNRJCYnYvLuIU2qu0747Rhu5WtO:HwsshvZNRgYny1U747R0v
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (42.3%)Win32 Dynamic Link Library (generic) (37.6%)Generic Win/DOS Executable (9.9%)DOS Executable Generic (9.9%)Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x1000546ctimedatestamp.....: 0x3f1c559e (Mon Jul 21 21:05:34 2003)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x6000 0x5200 6.83 5ce4f51b562d4ddee3793a3dd93aea3eDATA 0x7000 0x12000 0x11800 7.99 b559188c63af004c4a95a1c6b1ddab17.rdata 0x19000 0xa000 0xa00 3.24 ec529dcb3cbf186e50f7bb9c1293f240( 4 imports ) > msvcrt.dll: _controlfp, malloc, _cexit, _adjust_fdiv, _acmdln, wcslen, toupper, __setusermatherr, __p__fmode, __p__commode, __set_app_type, __getmainargs> user32.dll: OpenClipboard, TranslateMessage, DialogBoxParamW, LoadMenuW, LoadStringW, CreateDialogParamW, EnableMenuItem, SetDlgItemTextW, KillTimer, MessageBeep, DefWindowProcW, GetClientRect, WinHelpW, MessageBoxW, GetDlgCtrlID, GetDesktopWindow, DestroyMenu, LoadAcceleratorsW, CharNextW, CheckDlgButton, CheckMenuItem, GetWindowRect, CheckRadioButton, DrawTextW, SetFocus, CharNextA, SystemParametersInfoW, TrackPopupMenuEx, SendMessageW, GetSysColorBrush, OffsetRect, ShowWindow, RegisterClassExW, GetWindowTextW> MSVCRT.DLL: _wcsrev, __CxxFrameHandler> KERNEL32.DLL: GetModuleHandleA, GlobalAlloc, VirtualAlloc, lstrcatW, LocalReAlloc, LoadLibraryA, LocalFree, GlobalReAlloc, GetCommandLineW, SetEvent, GetStartupInfoA, WaitForSingleObject, GlobalFree, GetProfileIntW, lstrcpyW, Sleep, ExitProcess, lstrcpynW

hatakuvu:

Code:

ATTFilter

Datei hatakuvu.dll empfangen 2008.12.25 08:09:04 (CET)
Status:     Beendet   
Ergebnis: 15/39 (38.47%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	Win32:Adware-gen
AVG	8.0.0.199	2008.12.24	Agent.APVZ
BitDefender	7.2	2008.12.25	Trojan.Vundo.GDI
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	Trojan.Virtumod.1569
eSafe	7.0.17.0	2008.12.24	Suspicious File
eTrust-Vet	31.6.6276	2008.12.24	Win32/Vundo.BQJ
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	PossibleThreat
GData	19	2008.12.25	Trojan.Vundo.GDI
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!G
NOD32	3716	2008.12.24	Win32/Adware.Virtumonde
Norman	5.80.02	2008.12.24	W32/Virtumonde.AIEE
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Fraudulent Security Program
Rising	21.09.31.00	2008.12.25	Trojan.Win32.Undef.uxs
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	Troj/Virtum-Gen
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	Trojan.Vundo
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 94780 bytes
MD5...: 484684c7e6da41a3ad3ecd2e75b0f630
SHA1..: a086f494e7531a111dee8295be921a10112abcf4
SHA256: 1143531fa8c552b784d3ecddf308500bf31efe463ff98a5b063cbe96d3a5bd2b
SHA512: f20a9f57561852c97546bd114f017a74bf0c086a8710253703cafb00e0a1dc37b535150fd937d647267e63f6ce553ffac422530288ac16ad2bdb5af3ccd9b582
ssdeep: 1536:WIcRyBIy6dotWoXGTaIm4e87acO5vORRSFEpIY1Zb/LfYABoL7zZn:ORZ8WoX2aIm4PfYOREFqIAuLPZn
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (51.3%)Win16/32 Executable Delphi generic (12.4%)Clipper DOS Executable (12.1%)Generic Win/DOS Executable (12.0%)DOS Executable Generic (12.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x100051e3timedatestamp.....: 0x17dacc27 (Tue Sep 07 02:51:19 1982)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x6000 0x4e00 6.80 24b345e494559b4d3a98b8e5438036c4.rdata 0x7000 0x12000 0x11600 7.99 e96b8cedd51bdcaf20e2de908942cc79.data 0x19000 0xa000 0x600 2.73 ae942720f65c09e5c58ddb98e91b9c81( 4 imports ) > MSVCRT.DLL: _errno, __setusermatherr, __CxxFrameHandler, _controlfp, _XcptFilter> GDI32.DLL: DeleteDC, SaveDC, TextOutW, DeleteObject, SelectPalette, ExtTextOutW> msvcrt.dll: __p__fmode, __1type_info@@UAE@XZ, _c_exit, __getmainargs, wcslen> KERNEL32.DLL: CreateThread, VirtualAlloc, lstrcmpW, LocalReAlloc, CloseHandle, LoadLibraryW, ExitProcess, WaitForSingleObject, GlobalReAlloc, GetCommandLineA, LocalAlloc, CreateEventW, GetStartupInfoA, WriteProfileStringW( 0 exports ) 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1C267DD33CA14FEB7249015467D6830019EA3708' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1C267DD33CA14FEB7249015467D6830019EA3708</a>

hogumana:

Code:

ATTFilter

Datei hogumana.dll empfangen 2008.12.25 08:11:01 (CET)
Status:     Beendet   
Ergebnis: 7/39 (17.95%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	-
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eSafe	7.0.17.0	2008.12.24	Suspicious File
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!AH
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	Suspicious file
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Fraudulent Security Program
Rising	21.09.31.00	2008.12.25	Trojan.DL.Win32.Undef.ctm
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	Troj/Virtum-Gen
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	Trojan.Vundo
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 65284 bytes
MD5...: 65f72043e8001668721cb10dd87a0517
SHA1..: 1da2dbc8c7371991861736b1ac798e9471e81ae0
SHA256: fd3389a5329112cc46816ea429c45147a315575071d219982b91f1060cb114ce
SHA512: a4072a8f9c61c36380f9f7504076edbeafb8d4b85ff6a92ce8112ef0538e7b5a60b4e2e56e2d57049c9a47dd18123efdf91ff7809b2c72c8de1e240dccc4751e
ssdeep: 1536:hg1vEWupSRmfnikKyBpuorQnMEb3nOqE5Z40VM:heju4Rm6kKqhO3njE5Z4YM
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (58.6%)Clipper DOS Executable (13.8%)Generic Win/DOS Executable (13.7%)DOS Executable Generic (13.7%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x100059fbtimedatestamp.....: 0x45faf4ab (Fri Mar 16 19:48:59 2007)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5CODE 0x1000 0x7000 0x5200 6.89 e79e3bf814fb5098c38182c61ed3840d.data 0x8000 0xa000 0x9200 7.97 64e14db8248b387ddd5287df72a8f957DATA 0x12000 0xb000 0xa00 3.09 d314603be7438f557d60b04fc06baff2( 3 imports ) > USER32.DLL: SetWindowLongW, CheckMenuRadioItem, GetClientRect, SetWindowTextW, DestroyWindow, RegisterClassExW, GetDesktopWindow, ScreenToClient, TrackPopupMenuEx, CheckDlgButton, MapWindowPoints, CheckMenuItem, DispatchMessageW, LoadMenuW, TranslateMessage, DefWindowProcW, CreateWindowExW, IsChild, DestroyMenu, GetWindowRect, CharNextA, MessageBoxW, OpenClipboard, LoadIconW, GetClipboardData, CreateDialogParamW, CharNextW, EnableMenuItem, GetSysColor> MSVCRT.DLL: __CxxFrameHandler, __setusermatherr, exit, toupper, _terminate@@YAXXZ, _errno, wcslen, _exit, _initterm, _acmdln, __1type_info@@UAE@XZ, _wcsrev, __p__fmode, wcsspn, _adjust_fdiv, __3@YAXPAX@Z, __getmainargs, _CxxThrowException, wcschr> KERNEL32.DLL: Sleep, LocalReAlloc, lstrcpynW, GlobalFree, GetProcAddress, lstrcmpW, LocalAlloc, GetModuleHandleA, lstrcpyW, VirtualAlloc, ExitProcess, GetStartupInfoA, ResetEvent, GetProfileStringW( 0 exports ) 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2926DCFA0460C09CFFA100EA47CEFA002DE5FE5A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2926DCFA0460C09CFFA100EA47CEFA002DE5FE5A</a>

honayoto:

Code:

ATTFilter

Datei honayoto.dll empfangen 2008.12.25 08:13:12 (CET)
Status:     Beendet   
Ergebnis: 6/39 (15.39%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	-
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eSafe	7.0.17.0	2008.12.24	Suspicious File
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	Trojan:Win32/Vundo.gen!G
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	Fraudulent Security Program
Rising	21.09.31.00	2008.12.25	Trojan.DL.Win32.Undef.ctg
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	Troj/Virtum-Gen
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	Trojan.Vundo
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 99552 bytes
MD5...: 3bf3bfd38d6784fd893a2d66ac9a6a6a
SHA1..: 2132d33f834b9856a0855aa9aa7b0862b9f42dd6
SHA256: 9041a63aaff8d1382ddfd4590d3c138ee964239408095413a1f140ffbfa9aefa
SHA512: 20fcbe2151bf4aa0c4ab0ce7757f2d1069bc00a696ad50caaf69691e923173c73801d761614234880ac0c4b7cafce40d60310dccc4f34d50efc09a325b566810
ssdeep: 1536:TKF4OpaKKpGAGVk39sUn1oOD3jNsAR3az1wFtXAfX3HiqzKtBWxNUSBkdX++9T:TKF4OuWV67DD3jejf3Hic8B0j6T
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (58.5%)Clipper DOS Executable (13.8%)Generic Win/DOS Executable (13.7%)DOS Executable Generic (13.7%)Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x10005944timedatestamp.....: 0x43f8b42a (Sun Feb 19 18:08:42 2006)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5CODE 0x1000 0x6000 0x5400 6.83 ac5fb8584f99de3edfc6370f0ca0ddde.data 0x7000 0x12000 0x11600 7.99 522fef6adb597d769e2908b233d57134DATA 0x19000 0xa000 0xa00 3.50 54c93a24f0a9438a1f94bf954b6638c1( 5 imports ) > KERNEL32.DLL: GetProfileStringW, ExitProcess, GetProfileIntW, VirtualAlloc, WriteProfileStringW, CloseHandle, GetStartupInfoW, GetCommandLineW, GetModuleHandleA> MSVCRT.DLL: _wcsrev, _c_exit, _terminate@@YAXXZ, __p__fmode, wcsspn, _XcptFilter, free, _exit, _errno, __p__commode> USER32.DLL: EnableWindow, SetDlgItemInt, DialogBoxParamW, GetClipboardData, TrackPopupMenuEx, DestroyMenu, SystemParametersInfoW, TranslateAcceleratorW, CharNextA, SetTimer, GetMenu, CallWindowProcW, GetMessageW, CheckMenuRadioItem, CheckMenuItem, IsDialogMessageW, GetClientRect, MapWindowPoints, ScreenToClient, CreateDialogParamW, EnableMenuItem, CheckDlgButton, RegisterClassExW, SetDlgItemTextW, DefWindowProcW, LoadStringW, GetDesktopWindow, PostQuitMessage, CreateWindowExW, SetCaretBlinkTime, CloseClipboard, GetSysColorBrush, ChildWindowFromPoint, CharNextW> gdi32.dll: GetTextMetricsW, BitBlt, RestoreDC, CreateFontIndirectW, GetTextExtentPoint32W, RealizePalette, SelectObject> msvcrt.dll: wcslen, _except_handler3, __set_app_type, _controlfp, __1type_info@@UAE@XZ, __3@YAXPAX@Z, exit( 0 exports ) 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=94D0C56FE0C921528485018C699D38008463F605' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=94D0C56FE0C921528485018C699D38008463F605</a>

gozogipa

Code:

ATTFilter

Datei gozogipa empfangen 2008.12.25 08:15:40 (CET)
Status:     Beendet   
Ergebnis: 0/39 (0%)
 Filter 
Drucken der Ergebnisse  
Email:	 
	 
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2008.12.25	-
AhnLab-V3	2008.12.25.0	2008.12.25	-
AntiVir	7.9.0.45	2008.12.24	-
Authentium	5.1.0.4	2008.12.25	-
Avast	4.8.1281.0	2008.12.24	-
AVG	8.0.0.199	2008.12.24	-
BitDefender	7.2	2008.12.25	-
CAT-QuickHeal	10.00	2008.12.24	-
ClamAV	0.94.1	2008.12.24	-
Comodo	809	2008.12.24	-
DrWeb	4.44.0.09170	2008.12.25	-
eSafe	7.0.17.0	2008.12.24	-
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.24	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.25	-
Fortinet	3.117.0.0	2008.12.25	-
GData	19	2008.12.25	-
Ikarus	T3.1.1.45.0	2008.12.25	-
K7AntiVirus	7.10.564	2008.12.24	-
Kaspersky	7.0.0.125	2008.12.25	-
McAfee	5474	2008.12.24	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.25	-
NOD32	3716	2008.12.24	-
Norman	5.80.02	2008.12.24	-
Panda	9.0.0.4	2008.12.24	-
PCTools	4.4.2.0	2008.12.24	-
Prevx1	V2	2008.12.25	-
Rising	21.09.31.00	2008.12.25	-
SecureWeb-Gateway	6.7.6	2008.12.24	-
Sophos	4.37.0	2008.12.25	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.25	-
TheHacker	6.3.1.4.199	2008.12.23	-
TrendMicro	8.700.0.1004	2008.12.25	-
VBA32	3.12.8.10	2008.12.24	-
ViRobot	2008.12.24.1534	2008.12.24	-
VirusBuster	4.5.11.0	2008.12.24	-
weitere Informationen
File size: 6456 bytes
MD5...: bffda2ecdace0b6948e256d895963b0d
SHA1..: 25c3052b1bdf18aa0dd9eea36631056f8697e9a8
SHA256: 17f3f735122293b29934525e8b3494f5da1af8a188f98b72a74e7932d013a439
SHA512: 96c7aeee212a532f009166728c209dcf57a92176c575bcf47ebaecc0345c48f6efbd31fab1e54b2f2ab299c2a59365e48cea116e08bc404c320a3154b0fc144a
ssdeep: 192:Dx0cXvgWmqQQna8+Ls2JmhbB7oGxKRCPMFOooz8N:DKcXvad4RFb+Kz8N
PEiD..: -
TrID..: File type identificationUnknown!
PEInfo: -

..so.. nächster schritt ist dann blacklight und malwarebytes.

squirrel22 · 25.12.2008, 11:08

.. blacklight hat nichts gefunden...
..aber malware hat einiges gefunden und gelöscht:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1542
Windows 5.1.2600 Service Pack 2

25.12.2008 09:49:00
mbam-log-2008-12-25 (09-49-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 150215
Laufzeit: 53 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 7
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 10
Infizierte Verzeichnisse: 0
Infizierte Dateien: 25

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\silohuru.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\dikemude.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vefukufe.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\rujudagu.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\robejaku.dll (Trojan.Vundo) -> Delete on reboot.
c:\WINDOWS\system32\hatakuvu.dll (Trojan.Vundo) -> Delete on reboot.
c:\WINDOWS\system32\honayoto.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d9bc7ecb-3284-4c40-8772-acb2df98094c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d9bc7ecb-3284-4c40-8772-acb2df98094c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d9bc7ecb-3284-4c40-8772-acb2df98094c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5fab128b (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nogiwiyibe (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm5c982117 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\dikemude.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\dikemude.dll  -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\dikemude.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: c:\windows\system32\robejaku.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: system32\robejaku.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: c:\windows\system32\hatakuvu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: system32\hatakuvu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\honayoto.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\honayoto.dll -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\pulovuwi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iwuvolup.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\silohuru.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\uruholis.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yadihoni.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\inohiday.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rujudagu.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\honayoto.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vefukufe.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\dikemude.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\robejaku.dll (Trojan.Vundo) -> Delete on reboot.
c:\WINDOWS\system32\hatakuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\admin\Eigene Dateien\VIRENLADE\zilebobi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\admin\Eigene Dateien\VIRENLADE\zujevuho.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\winvsXFziSVF.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20081223-171508-958.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20081223-171721-617.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20081223-172247-924.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hogumana.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jawotiwi.dll.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vvvv33vajetezo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wiludubu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ztzahuzihixx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bibegipe.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Services.URL (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

bevor ich nun weitermache folgende frage:
ist es notwendig wie im tut empfohlen für combofix diese "Windows Wiederherstellungskonsole " zu erstellen?

kann ich den rechner inzwischen verwenden, oder sollte ich die aktivitäten einschränken?

werde als nächstes mal cccleaner durchführen.
combofix werde ich dann morgen machen. thx inzwischen!

john.doe · 25.12.2008, 11:21

Zitat:

ist es notwendig wie im tut empfohlen für combofix diese "Windows Wiederherstellungskonsole " zu erstellen?

Notwendig nicht, aber sicherer für den unwahrscheinlichen Fall, das etwas schieflaufen sollte.

Zitat:

kann ich den rechner inzwischen verwenden, oder sollte ich die aktivitäten einschränken?

Erst sauber machen, dann weiterarbeiten.

Code:

ATTFilter

C:\Dokumente und Einstellungen\admin\Eigene Dateien\VIRENLADE

Wasndas?

ciao, andreas

squirrel22 · 25.12.2008, 11:35

Zitat:

Zitat von john.doe

Notwendig nicht, aber sicherer für den unwahrscheinlichen Fall, das etwas schieflaufen sollte.
Erst sauber machen, dann weiterarbeiten.

Code:

ATTFilter

C:\Dokumente und Einstellungen\admin\Eigene Dateien\VIRENLADE

Wasndas?

ciao, andreas

achso, die virenlade, da hatte ich die gelöschten dll´s hineingespeichert.
ausserdem liegen da die logs der einzelnen antivierensoftwares..

)

bezügl. der wiederherstellungskonsole, ich hab bei dem laptop eine windows cd mit bereits vorinstallierten windows (HP-Notebook). soll ich da lieber die version verwenden wo man von microsoft was runterladen muss (-> version: keine windows cd vorhanden)?

so..mache dann morgen weiter. thx & schönen tag!
Squirrel

john.doe · 25.12.2008, 11:40

Zitat:

soll ich da lieber die version verwenden wo man von microsoft was runterladen muss (-> version: keine windows cd vorhanden)?

ciao, andreas

squirrel22 · 27.12.2008, 08:25

Hallo!

So, habe jetzt combofix ausgeführt, hier die ergebnisse:

Code:

ATTFilter

ComboFix 08-12-26.01 - admin 2008-12-27  7:51:59.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.215 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\admin\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
FW: McAfee Personal Firewall Plus *disabled*
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Resident AV is active

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\Downloaded Program Files\setup.inf

----- BITS: Eventuell infizierte Webseiten -----

hxxp://77.74.48.105
.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-27 bis 2008-12-27  ))))))))))))))))))))))))))))))
.

2008-12-25 11:14 . 2008-12-25 11:14	<DIR>	d--------	c:\programme\CCleaner
2008-12-25 08:51 . 2008-12-25 08:51	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-25 08:51 . 2008-12-25 08:51	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-25 08:51 . 2008-12-25 08:51	<DIR>	d--------	c:\dokumente und einstellungen\admin\Anwendungsdaten\Malwarebytes
2008-12-25 08:51 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-25 08:51 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-24 17:20 . 2008-12-24 17:20	111	--a------	c:\dokumente und einstellungen\admin\Anwendungsdaten\netstat.bat
2008-12-24 08:03 . 2008-12-25 07:37	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-12-24 07:34 . 2008-12-24 07:34	<DIR>	d--------	c:\programme\Sophos
2008-12-24 07:24 . 2008-12-26 04:32	250	--a------	c:\windows\gmer.ini
2008-12-24 04:26 . 2008-12-24 04:26	<DIR>	dr-h-----	c:\dokumente und einstellungen\admin\Anwendungsdaten\SecuROM
2008-12-23 17:03 . 2008-12-23 17:03	<DIR>	d--------	c:\programme\Trend Micro
2008-12-22 18:25 . 2008-12-22 18:25	272	--a------	c:\windows\game.ini
2008-12-22 15:09 . 2008-12-22 15:09	108,144	--a------	c:\windows\system32\CmdLineExt.dll
2008-12-22 15:06 . 2008-12-24 04:24	<DIR>	d--------	c:\programme\GameShadow

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-24 06:52	---------	d-----w	c:\programme\Bonjour
2008-12-24 03:26	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-12 04:21	---------	d-----w	c:\dokumente und einstellungen\admin\Anwendungsdaten\uTorrent
2008-11-01 07:54	102,664	----a-w	c:\windows\system32\drivers\tmcomm.sys
2008-11-01 05:36	---------	d-----w	c:\programme\NOS
2008-11-01 05:36	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-10-31 22:06	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-10-31 21:52	---------	d-----w	c:\dokumente und einstellungen\admin\Anwendungsdaten\AdobeUM
2006-08-08 20:36	303,545	----a-w	c:\programme\setuplog.txt
2005-10-09 19:48	406	----a-w	c:\dokumente und einstellungen\admin\Anwendungsdaten\wklnhst.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSKAGENTEXE"="c:\progra~1\McAfee\SPAMKI~1\MSKAgent.exe" [2005-03-10 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-23 5537792]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]
"VSOCheckTask"="c:\progra~1\mcafee.com\vso\mcmnhdlr.exe" [2005-03-02 143360]
"VirusScan Online"="c:\progra~1\mcafee.com\vso\mcvsshld.exe" [2005-03-18 196608]
"MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-03-07 278528]
"MCUpdateExe"="c:\progra~1\mcafee.com\agent\mcupdate.exe" [2005-03-07 180224]
"MSKAGENTEXE"="c:\progra~1\McAfee\SPAMKI~1\MSKAgent.exe" [2005-03-10 102400]
"MSKDetectorExe"="c:\progra~1\McAfee\SPAMKI~1\MskDetct.exe" [2005-03-23 1111040]
"MPFExe"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2005-04-05 950272]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AGRSMMSG"="AGRSMMSG.exe" [2004-09-03 c:\windows\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2005-02-23 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-04-16 113664]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-18 65588]
VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-08-23 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Dokumente und Einstellungen\\admin\\Eigene Dateien\\downloads\\kunden\\***\\******_09.12.08\\data\\xampplite\\apache\\bin\\apache.exe"=
"c:\\Dokumente und Einstellungen\\admin\\Eigene Dateien\\downloads\\kunden\\***\\******_09.12.08\\data\\xampplite\\mysql\\bin\\mysqld.exe"=
"c:\\Dokumente und Einstellungen\\admin\\Eigene Dateien\\downloads\\kunden\\***\\******_12.12.08\\data\\xampplite\\apache\\bin\\apache.exe"=
"c:\\Dokumente und Einstellungen\\admin\\Eigene Dateien\\downloads\\kunden\\***\\******_12.12.08\\data\\xampplite\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\McAfee\\SpamKiller\\MSKSrvr.exe"=

R3 NaiFiltr;NaiFiltr;c:\windows\system32\DRIVERS\NaiFiltr.sys [2005-07-06 23888]
S3 Cvpnmim;Cvpnmim; []
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\51.tmp []
S3 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys []
.
Inhalt des "geplante Tasks" Ordners

2008-12-27 c:\windows\Tasks\Durchsuchen von McAfee.com nach Updates (***********-admin).job
- c:\progra~1\mcafee.com\agent\mcupdate.exe [2005-03-07 14:07]

2008-12-27 c:\windows\Tasks\Durchsuchen von McAfee.com nach Updates (***********-admin).job
- c:\progra~1\mcafee.com\agent [2005-09-17 23:02]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-CPM5c982117 - c:\windows\system32\hatakuvu.dll
MSConfigStartUp-nogiwiyibe - c:\windows\system32\rujudagu.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.orf.at/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
uInternet Settings,ProxyOverride = *.local

c:\windows\Downloaded Program Files\sysreqlab3.dll - O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E}
hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
c:\windows\Downloaded Program Files\SysReqLab3.osd
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6rlqwop8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orf.at/
FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPJava11.dll
FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPJava12.dll
FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPJava13.dll
FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPJava14.dll
FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPJava32.dll
FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPJPI142_05.dll
FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 07:56:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????7?3?2?6??????? ???B???????????????B???????? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\51.tmp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\progra~1\McAfee.com\VSO\mcvsrte.exe
c:\progra~1\McAfee.com\PERSON~1\MpfService.exe
c:\progra~1\McAfee\SPAMKI~1\MSKSrvr.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\progra~1\McAfee.com\VSO\McShield.exe
c:\programme\McAfee.com\VSO\mcvsshld.exe
c:\progra~1\McAfee.com\VSO\McVSEscn.exe
c:\programme\McAfee.com\Agent\mcupdate.exe
c:\programme\McAfee\SpamKiller\MSKAgent.exe
c:\programme\Apoint2K\ApntEx.exe
c:\progra~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
c:\programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-27  7:59:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-12-27 06:59:43

Vor Suchlauf: 19 Verzeichnis(se), 17.180.147.712 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 17,209,778,176 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

192

neuer hijack this scan mit umbenannter datei:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:34, on 27.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\admin\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Cvpnmim - Unknown owner - (no file)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7990 bytes

und hier das listing der batch datei:

h**p://www.file-upload.net/download-1340564/listing.txt.html

Danke & lg,
squirrel

john.doe · 27.12.2008, 15:11

Lass diese Dateien von Virustotal überprüfen:

Code:

ATTFilter

c:\windows\system32\51.tmp
c:\windows\system32\drivers\SBREdrv.sys

Vielleicht nur Reste einer unsauberen Deinstallation. Sicher ist sicher.

ciao, andreas

squirrel22 · 27.12.2008, 15:25

Hi!

Habe diese beiden Datein nicht gefunden (versteckte Datein sind eingeblendet).

Sonst sieht alles OK aus Deiner Meinung nach?

Kann ich Java wieder installieren?

Auf jeden Fall, vielen, vielen Dank für Deine Hilfe!

lg,
Squirrel

john.doe · 27.12.2008, 15:38

Markiere, kopiere und füge die Links direkt bei Virustotal ein.

Was befindet sich im Ordner: c:\programme\GameShadow ?

Es fällt auf, dass du am nächsten Tag mehrere Antivirenprogramme installiert hast. Was hast du am 22.12 installiert?

Die neueste Javavaversion gibt es hier: Download der Java-Software von Sun Microsystems

ciao, andreas

squirrel22 · 28.12.2008, 19:18

Hi!

Hab ich gemacht, findet aber auch so die Files nicht.
Gameshadow war bei einem Spiel dabei (Original) dass ich am 22. installiert habe. Das ist ein Updaterprogramm für Spiele. Ich vermute mal dass ich mir da den Virus reingezogen hab, da es auch auf diverse Webseiten verlinkt wo Patches von Spielen zum download angeboten werden.

Welches Programm würdest Du empfehlen um den PC präventiv gegen solche Art von Viren zu schützen?

Thx, lg,
Squirrel

Zitat:

Zitat von john.doe

Markiere, kopiere und füge die Links direkt bei Virustotal ein.

Was befindet sich im Ordner: c:\programme\GameShadow ?

Es fällt auf, dass du am nächsten Tag mehrere Antivirenprogramme installiert hast. Was hast du am 22.12 installiert?

Die neueste Javavaversion gibt es hier: Download der Java-Software von Sun Microsystems

ciao, andreas

john.doe · 28.12.2008, 19:31

Ganz klar => Brain.exe
http://www.trojaner-board.de/20105-p...brain-exe.html
Brain.exe - Die Rundumlösung für viele Probleme

Du weißt, wie du es bekommen hast. Lerne daraus und tue das nicht wieder. Akzeptiere die Tipps die hier zu finden sind:
http://www.trojaner-board.de/65029-t...tml#post394394
oder werde noch öfter befallen und lerne dadurch.

Es gibt den perfekten Schutz, aber der ist durch kein Programm zu erreichen.
Homepage von Malte J. Wetz

Ich habe weder Antivirenprogramm, noch PFW, noch Antibotprogramm oder sonstiges Gedöns. Jedes Programm zusätzlich stellt eine Gefahr dar.

ciao, andreas

p.s.: Deinstalliere/lösche alle Programme die wir im Laufe dieser Aktion installiert/gestartet haben.

Start => Ausführen => combofix /u (aufs Leerzeichen achten!)=> OK

Antivirus 2009/ Virtumonde

Log-Analyse und Auswertung: Antivirus 2009/ Virtumonde