| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.07.2009, 10:39
| #1 |
 |  Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen Hallo, seit einiger Zeit bekomme ich von Avira Antivir die Meldungen, dass Trojaner mit den Namen TR/Crypt.XPACK.Gen und TR/Dropper.Gen gefunden werden. Ich habe von Bekannten gehört, dass es sich dabei auch um Rootkits handeln könnte, da sich die Trojaner anscheinend in versteckten Dateien rumtreiben und ich versteckte Dateien und Ordner bei mir auch nicht mehr sichtbar kriege. Ich habe mich grundsätzlich schonmal für eine völlige Neuinstallation meines Betriebssystems entschieden, allerdings habe ich das noch nicht ausgeführt, da ich zur Sicherung meiner Dateien eine externe Festplatte verwende und nun gehört habe, dass sich der Trojaner ja auch da festsetzen könnte und dann wiederum nach kompletter Neuinstallation von der externen Festplatte auf den Computer gelangen kann. Meine Frage also: Wie kann ich das verhindern??? Wie werde ich die Trojaner endgültig los??? Ich hoffe dass ich alles soweit korrekt ausgeführt habe und ihr mir helfen könnt. Vielen Dank schonmal im Voraus. Hier mein Malwarebytes Logfile: Laufzeit: 1 hour(s), 10 minute(s), 28 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\e8main0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\WINDOWS\system32\olhrwef.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Iche\Lokale Einstellungen\Temp\herss.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> Quarantined and deleted successfully. Und hier mein Random/Random Logfile: http://www.file-upload.net/download-1796943/log_randomrandom.txt.html (War zu lang um's direkt hier zu posten) |
|
30.07.2009, 15:40
| #2 |
| /// Helfer-Team    | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.GenCode:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Iche at 2009-07-30 11:18:39 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 22 GB (29%) free of 76 GB Total RAM: 1022 MB (31% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:18:46, on 30.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\serice.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\ISW\alice\signup\AliceCnn.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe C:\Dokumente und Einstellungen\Iche\Eigene Dateien\Install\RSIT.exe C:\Programme\trend micro\Iche.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SERICE] C:\WINDOWS\serice.exe O4 - HKLM\..\Run: [SHORST] C:\WINDOWS\svnhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{05822774-B4A9-4834-BAC1-9568AA9CD4B6}: NameServer = 62.109.123.7 213.191.92.86 O17 - HKLM\System\CS1\Services\Tcpip\..\{05822774-B4A9-4834-BAC1-9568AA9CD4B6}: NameServer = 62.109.123.7 213.191.92.86 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9589 bytes |
|
30.07.2009, 15:41
| #3 |
| /// Helfer-Team | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.GenCode:
ATTFilter ======Scheduled tasks folder======
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-23 63136]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 501400]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2005-08-12 45056]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-08-25 737369]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2005-12-20 15691264]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-12-20 69632]
"SMSERIAL"=C:\WINDOWS\sm56hlpr.exe [2005-09-16 557056]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [2005-04-15 45056]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_01\bin\jusched.exe [2007-03-14 83608]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2005-05-11 49152]
"Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe [2006-12-22 67752]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-09-06 413696]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2008-10-01 289576]
"FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe [2008-07-22 357376]
"GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]
"SERICE"=C:\WINDOWS\serice.exe [2009-07-16 476160]
"SHORST"=C:\WINDOWS\svnhost.exe [2009-07-16 476160]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [2008-07-02 397312]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2009-02-04 23975720]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
C:\Dokumente und Einstellungen\Iche\Startmenü\Programme\Autostart
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-12-16 47104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\Programme\Yahoo!\Messenger\YPager.exe"="C:\Programme\Yahoo!\Messenger\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Programme\Messenger\Msmsgs.exe"="C:\Programme\Messenger\Msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\Kazaa\kazaa.exe"="C:\Programme\Kazaa\kazaa.exe:*:Enabled:Kazaa"
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Programme\BearShare\BearShare.exe"="C:\Programme\BearShare\BearShare.exe:*:Enabled:BearShare"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Azureus\Azureus.exe"="C:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Java\jre1.6.0_01\bin\javaw.exe"="C:\Programme\Java\jre1.6.0_01\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ff5686f-64e8-11de-9324-00030d415a8d}]
shell\AutoRun\command - F:\28b6ry9r.exe
shell\open\command - F:\28b6ry9r.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c79de85e-692a-11de-932c-00030d415a8d}]
shell\AutoRun\command - F:\aphqg.exe
shell\open\command - F:\aphqg.exe
|
|
30.07.2009, 15:43
| #4 |
| /// Helfer-Team | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.GenCode:
ATTFilter ======List of files/folders created in the last 1 months======
2009-07-30 00:39:18 ----D---- C:\Programme\trend micro
2009-07-30 00:39:14 ----D---- C:\rsit
2009-07-29 20:15:45 ----HDC---- C:\WINDOWS\$NtUninstallKB972260$
2009-07-27 19:22:29 ----RSH---- C:\mb9x.exe
2009-07-24 11:11:31 ----RSH---- C:\p0ijj.bat
2009-07-24 11:11:04 ----RSH---- C:\WINDOWS\system32\nmdfgds0.dll
2009-07-23 19:11:15 ----RSH---- C:\8dtyjjf.exe
2009-07-21 21:21:44 ----A---- C:\WINDOWS\system32\lsdelete.exe
2009-07-21 21:11:08 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-21 21:10:46 ----D---- C:\Programme\Lavasoft
2009-07-21 21:10:45 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-20 17:11:47 ----RSH---- C:\cv8j.exe
2009-07-20 11:30:59 ----RSH---- C:\w9hw8.exe
2009-07-18 18:00:01 ----A---- C:\WINDOWS\system32\SET449.tmp
2009-07-18 17:59:59 ----A---- C:\WINDOWS\system32\SET44E.tmp
2009-07-16 23:31:34 ----A---- C:\WINDOWS\svnhost.exe
2009-07-16 23:31:34 ----A---- C:\WINDOWS\serice.exe
2009-07-16 23:31:08 ----D---- C:\Programme\LeeGTs Games
2009-07-16 16:33:49 ----D---- C:\Programme\VideoLAN
2009-07-15 10:24:33 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 10:24:23 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 10:07:50 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-06 15:19:40 ----D---- C:\Dokumente und Einstellungen\Iche\Anwendungsdaten\Malwarebytes
2009-07-06 15:19:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-06 15:19:32 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-06 14:58:14 ----D---- C:\Programme\CCleaner
2009-07-05 08:13:20 ----RSH---- C:\xmcckw.bat
======List of files/folders modified in the last 1 months======
2009-07-30 11:13:38 ----D---- C:\Programme\Mozilla Thunderbird
2009-07-30 11:12:03 ----D---- C:\WINDOWS\Temp
2009-07-30 11:12:03 ----AD---- C:\WINDOWS\system32
2009-07-30 11:09:30 ----D---- C:\WINDOWS\Internet Logs
2009-07-30 11:09:11 ----D---- C:\Programme\Mozilla Firefox
2009-07-30 11:09:10 ----D---- C:\Dokumente und Einstellungen\Iche\Anwendungsdaten\Skype
2009-07-30 11:07:28 ----AD---- C:\WINDOWS
2009-07-30 11:07:18 ----A---- C:\WINDOWS\ModemLog_Motorola SM56 Data Fax Modem.txt
2009-07-30 11:06:00 ----D---- C:\WINDOWS\system32\drivers
2009-07-30 11:02:52 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-30 09:50:37 ----D---- C:\Dokumente und Einstellungen\Iche\Anwendungsdaten\skypePM
2009-07-30 09:49:52 ----D---- C:\WINDOWS\Prefetch
2009-07-30 09:49:05 ----D---- C:\WINDOWS\system32\Lang
2009-07-30 03:00:39 ----HD---- C:\WINDOWS\inf
2009-07-30 03:00:36 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-30 03:00:30 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-30 00:39:18 ----RD---- C:\Programme
2009-07-30 00:33:38 ----D---- C:\WINDOWS\Debug
2009-07-29 20:15:55 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-29 20:15:54 ----D---- C:\Programme\Internet Explorer
2009-07-28 20:31:59 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-27 18:10:38 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-27 18:04:47 ----D---- C:\My Downloads
2009-07-21 21:12:49 ----SD---- C:\WINDOWS\Tasks
2009-07-21 21:12:28 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-07-21 21:11:08 ----SHD---- C:\WINDOWS\Installer
2009-07-21 21:11:07 ----HD---- C:\Config.Msi
2009-07-21 21:10:40 ----D---- C:\WINDOWS\WinSxS
2009-07-19 22:42:20 ----A---- C:\WINDOWS\win.ini
2009-07-18 18:00:01 ----A---- C:\WINDOWS\system32\shdocvw.dll
2009-07-18 17:59:59 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-07-17 00:28:31 ----D---- C:\WINDOWS\repair
2009-07-07 17:24:23 ----D---- C:\Dokumente und Einstellungen\Iche\Anwendungsdaten\Azureus
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-07 01:42:31 ----RSD---- C:\WINDOWS\Fonts
2009-07-07 01:42:31 ----D---- C:\Programme\ICQToolbar
2009-07-06 15:13:53 ----D---- C:\WINDOWS\Minidump
2009-07-06 09:22:08 ----SHD---- C:\RECYCLER
2009-07-06 09:20:59 ----D---- C:\Dokumente und Einstellungen
2009-07-01 05:59:50 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-07-17 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-27 40192]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-04 8832]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2007-04-22 271360]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2007-04-22 18048]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-12-16 1412608]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-04-17 15464]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2005-12-20 4123136]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 PDDSLADP;ProDyne DSL Adapter; C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-10-09 15571]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2005-12-08 78720]
R3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys [2005-09-16 846792]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-08-25 191168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2005-03-31 27008]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-09-16 57856]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
S3 AVPsys;AVPsys; \??\C:\WINDOWS\system32\drivers\cdaudio.sys []
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-08 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-08 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-08 21744]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM); C:\WINDOWS\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS); C:\WINDOWS\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM); C:\WINDOWS\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]
S3 s816bus;Sony Ericsson Device 816 driver (WDM); C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS); C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM); C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 97704]
S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-20 21248]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2008-10-01 32000]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2005-12-08 1411840]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AdobeActiveFileMonitor5.0;Adobe Active File Monitor V5; C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe [2006-12-22 108712]
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-07-17 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-08-30 149761]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-10-01 116040]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-12-16 393216]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-07-03 1029456]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-20 322120]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-10-01 536872]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-04 268800]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-03-04 315392]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 1527900]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
-----------------EOF-----------------
|
|
30.07.2009, 15:45
| #5 | |
| /// Helfer-Team | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen Hallo und Herzlich Willkommen!  Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Lade das SDFix von AndyManchesta eine der folgenden Links herunter: bleepingcomputer.com andymanchesta.com 2. auf deinem Desktop speichern 3. per Doppelklick SDFix.exe starten 4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken 5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird 6. öffne den neu entstandenen SDFix Ordner 7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten 8. gib ein Y ein, um den Reinigungsprozess zu beginnen 9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann 10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. 11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden - Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn! 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 4. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow Geändert von kira (30.07.2009 um 15:51 Uhr) |
|
30.07.2009, 21:08
| #6 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen Hallo, und gleich mal vielen Dank für die schnelle Antwort. Auf Online-Banking und Filesharing verzichte ich natürlich während ich dieses Ding noch aufm PC hab. Ich habe jetzt also mal Schritt für Schritt alles gemacht...hat etwas gedauert, aber ich hoffe, es hilft dir weiter, mir zu helfen :-). SDFix-Report: Code:
ATTFilter SDFix: Version 1.240
Run by Iche on 30.07.2009 at 20:10
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Iche\Desktop\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\autorun.inf - Deleted
C:\Programme\Setup.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-30 20:35:16
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 1381
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 1381
disk error: C:\Dokumente und Einstellungen\Iche\ntuser.dat, 1381
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Messenger\\Msmsgs.exe"="C:\\Programme\\Messenger\\Msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\Kazaa\\kazaa.exe"="C:\\Programme\\Kazaa\\kazaa.exe:*:Enabled:Kazaa"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Java\\jre1.6.0_01\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.6.0_01\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\ICQ6.5\\ICQ.exe"="C:\\Programme\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
Remaining Files :
File Backups: - C:\DOKUME~1\Iche\Desktop\SDFix\backups\backups.zip
Files with Hidden Attributes :
Thu 23 Jul 2009 109,631 ..SHR --- "C:\8dtyjjf.exe"
Tue 21 Jul 2009 108,497 ..SHR --- "C:\cv8j.exe"
Tue 28 Jul 2009 108,530 ..SHR --- "C:\mb9x.exe"
Mon 20 Jul 2009 107,689 ..SHR --- "C:\w9hw8.exe"
Mon 27 Jul 2009 115,200 ..SHR --- "C:\WINDOWS\system32\nmdfgds0.dll"
Sat 28 Oct 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 26 Feb 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Tue 29 Apr 2008 1,996,104 A..H. --- "C:\Dokumente und Einstellungen\Iche\Eigene Dateien\Games\Chocolatier 1 Deutsche Version PC Game Vollversionby jeff hardy\Chocolatier\Chocolatier.exe"
Thu 16 Oct 2008 2,135,368 A..H. --- "C:\Dokumente und Einstellungen\Iche\Eigene Dateien\Games\Chocolatier 2 Secret Ingredients Deutsche Version PC Game Vollversion by jeff hardy\Chocolatier 2 - Secret Ingredients\chocotwo.exe"
Finished!
Code:
ATTFilter Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2
30.07.2009 21:44:44
mbam-log-2009-07-30 (21-44-44).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 260531
Laufzeit: 1 hour(s), 0 minute(s), 40 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
C:\WINDOWS\serice.exe (Trojan.Agent) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\serice (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\shorst (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\serice.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\svnhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vhosts.exe (Rootkit.Agent) -> Delete on reboot.
|
|
30.07.2009, 21:14
| #7 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen ...und weiter geht's: filelist-logfile: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\
30.07.2009 21:59 43 filelist.txt
30.07.2009 21:46 1.071.828.992 hiberfil.sys
30.07.2009 21:46 1.610.612.736 pagefile.sys
30.07.2009 21:46 9.370 aaw7boot.log
29.07.2009 20:45 793 fpRedmon.log
28.07.2009 20:42 108.530 mb9x.exe
24.07.2009 11:11 107.797 p0ijj.bat
23.07.2009 19:10 109.631 8dtyjjf.exe
21.07.2009 15:19 108.497 cv8j.exe
20.07.2009 11:30 107.689 w9hw8.exe
03.07.2009 18:18 111.074 xmcckw.bat
24.05.2009 13:35 102.452 playground.log
23.05.2009 02:34 48.128 edwin.exe
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\WINDOWS
30.07.2009 21:49 1.122.101 WindowsUpdate.log
30.07.2009 21:48 0 0.log
30.07.2009 21:48 4.126 ModemLog_Motorola SM56 Data Fax Modem.txt
30.07.2009 21:48 159 wiadebug.log
30.07.2009 21:48 50 wiaservc.log
30.07.2009 21:47 2.048 bootstat.dat
30.07.2009 21:45 32.622 SchedLgU.Txt
30.07.2009 20:17 341.922 ntbtlog.txt
30.07.2009 19:26 3.551 Codec Pack - All In 1 Setup Log.txt
30.07.2009 03:00 27.777 KB972260.log
30.07.2009 03:00 2.767 updspapi.log
----- System ---
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\WINDOWS\system
(hier ist alles älter als 6 Monate)
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\WINDOWS\system32
30.07.2009 21:49 1.158 wpa.dbl
30.07.2009 21:48 358.383 vsconfig.xml
27.07.2009 17:32 90.220 yuqomtr
27.07.2009 17:30 115.200 nmdfgds0.dll
18.07.2009 18:00 1.509.888 SET449.tmp
18.07.2009 18:00 1.509.888 shdocvw.dll
18.07.2009 17:59 3.090.432 mshtml.dll
18.07.2009 17:59 3.090.432 SET44E.tmp
07.07.2009 17:10 24.539.592 MRT.exe
06.07.2009 01:00 552 d3d8caps.dat
03.07.2009 16:49 15.688 lsdelete.exe
01.07.2009 05:59 65.378 perfc009.dat
01.07.2009 05:59 410.908 perfh009.dat
01.07.2009 05:59 427.204 perfh007.dat
01.07.2009 05:59 79.192 perfc007.dat
01.07.2009 05:59 994.020 PerfStringBackup.INI
26.06.2009 17:59 673.792 wininet.dll
26.06.2009 17:59 673.792 SET446.tmp
26.06.2009 17:58 474.624 shlwapi.dll
26.06.2009 17:58 474.624 SET448.tmp
26.06.2009 17:58 622.080 urlmon.dll
26.06.2009 17:58 622.080 SET447.tmp
26.06.2009 17:58 39.424 SET44A.tmp
26.06.2009 17:58 146.432 msrating.dll
26.06.2009 17:58 39.424 pngfilt.dll
26.06.2009 17:58 449.024 mshtmled.dll
26.06.2009 17:58 532.480 mstime.dll
26.06.2009 17:58 251.904 iepeers.dll
26.06.2009 17:58 96.768 inseng.dll
26.06.2009 17:58 16.384 jsproxy.dll
26.06.2009 17:58 205.312 dxtrans.dll
26.06.2009 17:58 81.920 ieencode.dll
26.06.2009 17:58 55.808 extmgr.dll
26.06.2009 17:58 1.056.256 danim.dll
26.06.2009 17:58 357.888 dxtmsft.dll
26.06.2009 17:58 152.064 cdfview.dll
26.06.2009 17:58 1.024.000 browseui.dll
26.06.2009 17:58 1.024.000 SET456.tmp
26.06.2009 17:51 371.200 html.iec
23.06.2009 02:23 375.808 SET458.tmp
23.06.2009 02:23 375.808 xpsp3res.dll
16.06.2009 16:53 119.808 t2embed.dll
16.06.2009 16:53 82.432 fontsub.dll
13.06.2009 11:55 392.776 FNTCACHE.DAT
03.06.2009 21:26 1.296.384 quartz.dll
26.05.2009 13:40 18.808 spmsg.dll
17.05.2009 15:32 4.212 zllictbl.dat
07.05.2009 17:42 346.624 localspl.dll
19.04.2009 22:06 1.846.784 win32k.sys
15.04.2009 17:11 584.192 rpcrt4.dll
21.03.2009 16:20 1.059.840 kernel32.dll
06.03.2009 15:59 286.720 pdh.dll
18.02.2009 12:43 56 ezsidmv.dat
09.02.2009 13:39 2.023.424 ntkrnlpa.exe
09.02.2009 13:39 2.145.280 ntoskrnl.exe
09.02.2009 12:00 736.256 lsasrv.dll
09.02.2009 12:00 678.912 advapi32.dll
09.02.2009 12:00 401.408 rpcss.dll
09.02.2009 12:00 740.864 ntdll.dll
09.02.2009 11:48 111.104 services.exe
06.02.2009 11:54 35.328 sc.exe
03.02.2009 22:08 55.808 secur32.dll
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\WINDOWS\Prefetch
30.07.2009 21:59 14.190 FIND.EXE-0EC32F1E.pf
30.07.2009 21:59 16.206 CMD.EXE-087B4001.pf
30.07.2009 21:58 20.376 VERCLSID.EXE-3667BD89.pf
30.07.2009 21:58 84.556 WINRAR.EXE-3588DFE8.pf
30.07.2009 21:57 45.100 AVWSC.EXE-2F6C3C95.pf
30.07.2009 21:57 99.074 FIREFOX.EXE-1D57670A.pf
30.07.2009 21:54 31.190 JUCHECK.EXE-22809EFC.pf
30.07.2009 21:54 30.602 RUNDLL32.EXE-4B2D82A6.pf
30.07.2009 21:51 41.102 HPRBUPDATE.EXE-06271174.pf
30.07.2009 21:51 36.428 ALICECNN.EXE-2354FD12.pf
30.07.2009 21:51 46.108 SKYPEPM.EXE-03F1BFBD.pf
30.07.2009 21:50 18.700 HPRBLOG.EXE-20CD9551.pf
30.07.2009 21:50 87.096 SOFFICE.BIN-1E52E616.pf
30.07.2009 21:50 74.952 HPQSTE08.EXE-1E91DFAA.pf
30.07.2009 21:50 23.348 WMIAPSRV.EXE-1E2270A5.pf
30.07.2009 21:50 15.834 SOFFICE.EXE-26427B3D.pf
30.07.2009 21:50 14.974 HPZIPM12.EXE-145E7369.pf
30.07.2009 21:50 18.952 IPODSERVICE.EXE-233792DA.pf
30.07.2009 21:50 98.052 HPQIMZONE.EXE-23C44CEA.pf
30.07.2009 21:50 14.112 QUICKSTART.EXE-00894D92.pf
30.07.2009 21:50 21.334 HPQTRA08.EXE-1DCE361D.pf
30.07.2009 21:50 17.630 READER_SL.EXE-36135169.pf
30.07.2009 21:49 51.846 HPQTHB08.EXE-059C512F.pf
30.07.2009 21:49 34.130 RTHDCPL.EXE-06918CFA.pf
30.07.2009 21:49 19.302 IMAPI.EXE-0BF740A4.pf
30.07.2009 21:49 46.094 SKYPE.EXE-21F19BC8.pf
30.07.2009 21:49 14.454 ITUNESHELPER.EXE-08906EB7.pf
30.07.2009 21:49 15.600 FPASSIST.EXE-18368AA2.pf
30.07.2009 21:49 89.102 CLI.EXE-02B0DB56.pf
30.07.2009 21:49 17.432 SYNTPENH.EXE-3967AE36.pf
30.07.2009 21:49 12.912 JUSCHED.EXE-00566548.pf
30.07.2009 21:49 14.912 HDASHCUT.EXE-1B000CA9.pf
30.07.2009 21:49 68.628 EXPLORER.EXE-082F38A9.pf
30.07.2009 21:49 12.120 NEROCHECK.EXE-092C6DFA.pf
30.07.2009 21:49 13.520 ALCMTR.EXE-235F9538.pf
30.07.2009 21:49 20.094 ATI2EVXX.EXE-19D16EB9.pf
30.07.2009 21:49 19.904 USERINIT.EXE-30B18140.pf
30.07.2009 21:49 70.622 MBAM.EXE-11D8BBD8.pf
30.07.2009 21:49 52.592 WGATRAY.EXE-0ED38BED.pf
30.07.2009 21:49 12.074 MBAMGUI.EXE-1E06AB95.pf
30.07.2009 21:49 36.156 WMIPRVSE.EXE-28F301A9.pf
30.07.2009 21:49 31.030 WUAUCLT.EXE-399A8E72.pf
30.07.2009 21:49 1.011.142 NTOSBOOT-B00DFAAD.pf
30.07.2009 21:45 23.030 LOGONUI.EXE-0AF22957.pf
30.07.2009 21:44 14.916 MBAM-DOR.EXE-05145661.pf
30.07.2009 21:44 21.062 NOTEPAD.EXE-336351A9.pf
30.07.2009 21:44 16.986 REGEDIT.EXE-1B606482.pf
30.07.2009 21:35 25.390 GUARDGUI.EXE-1BD45C30.pf
30.07.2009 20:55 36.468 UPDCLIENT.EXE-215FC96B.pf
30.07.2009 20:44 34.976 SVCHOST.EXE-3530F672.pf
30.07.2009 20:43 18.272 SLVXPVKDOX.EXE-1AA5F020.pf
30.07.2009 20:40 17.396 MBAM-SETUP.EXE-2521B101.pf
30.07.2009 20:40 19.656 REGSVR32.EXE-25EEFE2F.pf
30.07.2009 20:40 78.830 MBAM-SETUP.TMP-184302A9.pf
30.07.2009 20:37 21.818 SERICE.EXE-372F1F90.pf
30.07.2009 20:37 31.262 ZLCLIENT.EXE-0120F620.pf
30.07.2009 20:37 22.806 GROOVEMONITOR.EXE-27AC1EA0.pf
30.07.2009 20:37 12.210 HPWUSCHD2.EXE-08E18A7C.pf
30.07.2009 20:37 19.644 APDPROXY.EXE-36D584F3.pf
30.07.2009 20:36 37.194 AVGNT.EXE-36CA4640.pf
30.07.2009 20:36 16.104 SM56HLPR.EXE-354818CA.pf
30.07.2009 20:36 12.310 QTTASK.EXE-2D7EEF34.pf
30.07.2009 20:35 12.108 CLIPTEXT.EXE-05971A4B.pf
30.07.2009 20:35 28.712 DNIF.EXE-06A37205.pf
30.07.2009 20:35 14.076 CGHTME.EXE-10019434.pf
30.07.2009 20:35 12.030 LS.EXE-191FC2E5.pf
30.07.2009 20:35 20.622 ZIP.EXE-1C3CD032.pf
30.07.2009 20:35 15.800 EDITREG.EXE-0F132981.pf
30.07.2009 20:34 14.836 CSWEG.EXE-05EDC965.pf
30.07.2009 20:32 12.336 SWSC.EXE-146B907C.pf
30.07.2009 20:31 11.266 RTSDNIF.EXE-1CEF88D7.pf
30.07.2009 20:29 275.920 UNRAR.EXE-095E5AC4.pf
30.07.2009 20:28 103.038 MD5FILE.EXE-22AD6B46.pf
30.07.2009 20:21 21.370 AAWTRAY.EXE-31E33C30.pf
30.07.2009 19:28 14.958 N1SETUP.EXE-0B4A02F2.pf
30.07.2009 19:28 14.084 SWITCHSETUP.EXE-05288E72.pf
30.07.2009 19:26 23.550 IRSETUP.EXE-18B95F16.pf
30.07.2009 19:26 16.818 CODECS6030_ALLIN1.EXE-1E551B79.pf
30.07.2009 19:25 30.362 RUNDLL32.EXE-27858E32.pf
30.07.2009 19:24 60.736 SDFIX.EXE-3A9D461D.pf
30.07.2009 19:21 14.606 HPZSTC12.EXE-2A807C2C.pf
30.07.2009 19:21 17.016 HPZENG12.EXE-07E42CEC.pf
30.07.2009 19:05 99.576 WINWORD.EXE-0B995611.pf
30.07.2009 19:05 79.508 PHOTODOWNLOADER.EXE-1F4724FE.pf
30.07.2009 19:00 101.632 THUNDERBIRD.EXE-031A6371.pf
30.07.2009 18:58 16.758 CTFMON.EXE-0E17969B.pf
30.07.2009 18:58 14.438 SVNHOST.EXE-1BDE73A4.pf
30.07.2009 18:50 17.436 DFRGNTFS.EXE-269967DF.pf
30.07.2009 18:50 19.174 DEFRAG.EXE-273F131E.pf
30.07.2009 18:50 280.326 Layout.ini
30.07.2009 18:46 11.544 LOGON.SCR-151EFAEA.pf
30.07.2009 11:21 46.192 AVCENTER.EXE-37584419.pf
30.07.2009 11:18 54.450 ICHE.EXE-223C9758.pf
30.07.2009 11:18 20.996 RSIT.EXE-1621FF99.pf
30.07.2009 11:13 30.622 RUNDLL32.EXE-25ADB79F.pf
30.07.2009 11:07 18.120 ALG.EXE-0F138680.pf
30.07.2009 11:07 13.276 MDM.EXE-27F66238.pf
30.07.2009 11:07 15.192 APPLEMOBILEDEVICESERVICE.EXE-0B00542D.pf
30.07.2009 11:07 22.436 SCHED.EXE-236A886F.pf
30.07.2009 11:07 18.194 PHOTOSHOPELEMENTSFILEAGENT.EX-3318913C.pf
30.07.2009 11:07 17.000 AVGUARD.EXE-3490B18B.pf
30.07.2009 09:49 47.330 IEXPLORE.EXE-2CA9778D.pf
30.07.2009 09:48 10.056 HERSS.EXE-133B8F72.pf
30.07.2009 09:48 15.082 PDVDSERV.EXE-15757141.pf
30.07.2009 09:48 11.920 AHNRPTA.EXE-09B34D9D.pf
30.07.2009 09:47 12.242 TQIMJ.EXE-0F05ED49.pf
30.07.2009 03:00 48.484 UPDATE.EXE-00C68D68.pf
30.07.2009 02:03 17.918 SSPIPES.SCR-151C97BA.pf
30.07.2009 00:48 62.040 ACRORD32INFO.EXE-30CEC19C.pf
30.07.2009 00:48 61.610 ACRORD32.EXE-0EC716D9.pf
30.07.2009 00:23 21.370 ITUNES.EXE-15E88941.pf
111 Datei(en) 4.953.078 Bytes
0 Verzeichnis(se), 23.470.125.056 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\WINDOWS\tasks
30.07.2009 21:47 6 SA.DAT
29.07.2009 20:14 276 AppleSoftwareUpdate.job
28.07.2009 21:12 456 Ad-Aware Update (Weekly).job
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\WINDOWS\Temp
30.07.2009 21:49 409 WGANotify.settings
30.07.2009 21:49 255 WGAErrLog.txt
30.07.2009 21:47 256 ZLT05449.TMP
30.07.2009 21:47 256 ZLT05113.TMP
30.07.2009 20:20 0 T30DebugLogFile.txt
5 Datei(en) 1.176 Bytes
0 Verzeichnis(se), 23.470.129.152 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist N01007
Volumeseriennummer: 647B-C08A
Verzeichnis von C:\DOKUME~1\Iche\LOKALE~1\Temp
30.07.2009 21:58 1.544 etilqs_cqIrdUeKGfRkE23oORdd-journal
30.07.2009 21:58 0 etilqs_bZQL2KDp87wMLaqmSbvQ
30.07.2009 21:57 16.384 ~DFEE0F.tmp
30.07.2009 21:54 1.020 jusched.log
30.07.2009 21:51 16.384 Perflib_Perfdata_d78.dat
30.07.2009 21:51 0 etilqs_cqIrdUeKGfRkE23oORdd
30.07.2009 21:51 16.384 Perflib_Perfdata_954.dat
30.07.2009 21:50 16.384 Perflib_Perfdata_958.dat
30.07.2009 21:50 107 STS3.tmp
30.07.2009 21:50 1.285 MAR1.tmp
30.07.2009 21:50 16.384 ~DFB39.tmp
30.07.2009 21:49 16.384 Perflib_Perfdata_ebc.dat
30.07.2009 21:49 16.384 ~DF3F40.tmp
30.07.2009 20:37 107 STS7.tmp
30.07.2009 20:37 2.989 hpodvd09.log
30.07.2009 20:37 1.285 MAR5.tmp
16 Datei(en) 123.025 Bytes
0 Verzeichnis(se), 23.470.129.152 Bytes frei
|
|
30.07.2009, 21:15
| #8 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen ...und noch die CCleaner-Programmübersicht: Code:
ATTFilter Ad-Aware
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Photoshop Elements 5.0
Adobe Reader 7.0.5 - Deutsch
Alice-Installationsdateien entfernen
ANNO 1503
Apple Mobile Device Support
Apple Software Update
ATI Catalyst Control Center
ATI Display Driver
Autobahn Raser IV
Avanquest update
Avira AntiVir Personal - Free Antivirus
Burger Rush
Canon Camera Access Library
Canon Camera Support Core Library
Canon EOS 5D WIA-Treiber
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon Utilities CameraWindow
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
Canon Utilities Digital Photo Professional 3.4
Canon Utilities EOS Utility
Canon Utilities MyCamera
Canon Utilities Original Data Security Tools
Canon Utilities PhotoStitch
Canon Utilities Picture Style Editor
Canon Utilities RemoteCapture Task for ZoomBrowser EX
Canon Utilities WFT-E1/E2/E3 Utility
Canon Utilities ZoomBrowser EX
Canon ZoomBrowser EX Memory Card Utility
CCleaner (remove only)
Citrix ICA Web Client
Codec Pack - All In 1 6.0.3.0
Die Sims™ 2 IKEA® Home-Accessoires
Die Sims™ 2 Super Deluxe
DivX Codec
DivX Converter
DivX Player
DivX Web Player
eAssistant CAD-PlugIn - Solid Edge
Firebird SQL Server (D)
FreePDF XP (Remove only)
Gothic II
GPL Ghostscript 8.62
GPL Ghostscript Fonts
High Definition Audio - KB888111
HijackThis 2.0.2
HP Document Viewer 5.3
HP Image Zone 5.3
HP Imaging Device Functions 5.3
HP PSC & OfficeJet 5.3.B
HP Solution Center & Imaging Support Tools 5.3
ICQ6.5
iTunes
J2SE Runtime Environment 5.0 Update 8
Java 2 Runtime Environment, SE v1.4.2
Java 2 SDK, SE v1.4.2
Java(TM) SE Runtime Environment 6 Update 1
Macromedia Flash Player 8
Malwarebytes' Anti-Malware
Mathcad 13
MathType 6
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Enterprise 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Motorola SM56 Data Fax Modem
Mozilla Firefox (3.0.12)
Mozilla Thunderbird (2.0.0.22)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero BurnRights
Nero OEM
NeroVision Express 3 SE
NeroVision Express Content
OpenOffice.org 3.0
PowerDVD
QuickTime
Realtek High Definition Audio Driver
RedMon - Redirection Port Monitor
Sandlot Games Client Services 1.2.2
ScanToWeb
SecureW2 TTLS Client 3.3.3 for Windows
Skype™ 4.0
Solid Edge V20
Sony Ericsson PC Suite 4.010.00
Synaptics Pointing Device Driver
Turtle Odyssey 2
Windows Installer 3.1 (KB893803)
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR
ZoneAlarm
|
|
31.07.2009, 07:57
| #9 |
| /// Helfer-Team | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen hi → besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code:
ATTFilter C:\mb9x.exe
C:\p0ijj.bat
C:\8dtyjjf.exe
C:\cv8j.exe
C:\w9hw8.exe
C:\xmcckw.bat
C:\edwin.exe
C:\WINDOWS\system32\yuqomtr
C:\WINDOWS\system32\nmdfgds0.dll
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): |
|
31.07.2009, 10:28
| #10 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen C:\mb9x.exe Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 Worm.Win32.Taterf!IK
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.236 2009.07.31 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.07.31 Trojan/Win32.Magania.gen
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 Win32:Kamso
AVG 8.5.0.406 2009.07.31 SHeur2.ATKH
BitDefender 7.2 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@bmWj8Gnb
CAT-QuickHeal 10.00 2009.07.30 Worm.AutoRun.gen
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.07.31 Trojan.Packed.191
eSafe 7.0.17.0 2009.07.30 Win32.TRCrypt.ZPACK
eTrust-Vet 31.6.6648 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 Trojan-GameThief.Win32.Magania.brut
Fortinet 3.120.0.0 2009.07.31 PossibleThreat
GData 19 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@bmWj8Gnb
Ikarus T3.1.1.64.0 2009.07.31 Worm.Win32.Taterf
Jiangmin 11.0.800 2009.07.31 Trojan/PSW.Magania.wev
K7AntiVirus 7.10.806 2009.07.30 -
Kaspersky 7.0.0.125 2009.07.31 Trojan-GameThief.Win32.Magania.brut
McAfee 5693 2009.07.30 PWS-Mmorpg!cd
McAfee+Artemis 5693 2009.07.30 PWS-Mmorpg!cd
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Trojan.B
Microsoft 1.4903 2009.07.31 Worm:Win32/Taterf.B
NOD32 4293 2009.07.31 Win32/PSW.OnLineGames.NNU
Norman 6.01.09 2009.07.30 -
nProtect 2009.1.8.0 2009.07.31 -
Panda 10.0.0.14 2009.07.30 Suspicious file
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 High Risk Cloaked Malware
Rising 21.40.41.00 2009.07.31 Trojan.PSW.Win32.GameOLx.fo
Sophos 4.44.0 2009.07.31 Mal/Frethog-B
Sunbelt 3.2.1858.2 2009.07.31 Packed.WIn32.Krap.Gen (v)
Symantec 1.4.4.12 2009.07.31 -
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 -
VBA32 3.12.10.9 2009.07.31 -
ViRobot 2009.7.31.1863 2009.07.31 Trojan.Win32.PSWMagania.108530
VirusBuster 4.6.5.0 2009.07.30 -
weitere Informationen
File size: 108530 bytes
MD5...: 5aa3833703daee1e14bfff0307ea2b97
SHA1..: 0cc44e2116863ec0c82878c807770d43f4080099
SHA256: 432fd94e8bca3a4067f7a85fcc65bf1eb6e39f7e11ec5c49333b712977b4a398
ssdeep: 1536:68SBpX/OzeFgdUz7OxLcNSCm0UnlyqP4PMsx3veUzHzbM+gCLlnN9Moul:6
vKCgdUNM3Y/PM0GAzbxgCLaTl
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x38d70
timedatestamp.....: 0x4a6db46f (Mon Jul 27 14:06:39 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x44b 0.60 b9b6bf10717c026bf56e672e651b78be
.data 0x21000 0x19000 0x18a00 7.95 0f1a79343c58a81b87b0ed6267dbb0b3
.rsrc 0x3a000 0xbb42 0x13f2 1.14 fa219858934a7e7c45ef9f5b99f42bfc
.rdata 0x46000 0x48ec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> KERNEL32.DLL: GetCurrentDirectoryW, GetTickCount, FindNextVolumeMountPointA, GetThreadTimes, CreateEventW, EnumCalendarInfoA, GlobalGetAtomNameW, EnumUILanguagesA, EnumSystemCodePagesA, GetFileType, FoldStringW, LoadLibraryA, GetDefaultCommConfigA, GetThreadContext, GetSystemWindowsDirectoryA, GetLogicalDriveStringsW, GetHandleInformation, GetDiskFreeSpaceA, GetPrivateProfileIntW, GlobalFlags, CopyFileExA, EnumDateFormatsExA, GetSystemDirectoryA, GetNamedPipeHandleStateW, GetComputerNameExA, DosPathToSessionPathA, FindClose, ExitProcess, GetStartupInfoW, GetLastError, IsBadReadPtr, GetCurrentProcessId, DeleteFiber, GetTimeFormatA, EnumTimeFormatsA, FindFirstFileA
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F994277BF20CF5E4A7940121BEF2E8009DD85113' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F994277BF20CF5E4A7940121BEF2E8009DD85113</a>
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 Trojan-Downloader.Win32.Frethog!IK
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.236 2009.07.31 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2009.07.31 Trojan/Win32.Magania.gen
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 Win32:Kamso
AVG 8.5.0.406 2009.07.31 Worm/AutoRun.GV
BitDefender 7.2 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@b48UzM
CAT-QuickHeal 10.00 2009.07.30 TrojanGameThief.Magania.bpka
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.07.31 Trojan.Packed.191
eSafe 7.0.17.0 2009.07.30 Win32.Horse
eTrust-Vet 31.6.6648 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 Trojan-GameThief.Win32.Magania.bpka
Fortinet 3.120.0.0 2009.07.31 SPY/Magania
GData 19 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@b48UzM
Ikarus T3.1.1.64.0 2009.07.31 Trojan-Downloader.Win32.Frethog
Jiangmin 11.0.800 2009.07.31 -
K7AntiVirus 7.10.806 2009.07.30 Trojan-PSW.Win32.Magania.bpka
Kaspersky 7.0.0.125 2009.07.31 Trojan-GameThief.Win32.Magania.bpka
McAfee 5693 2009.07.30 Generic PWS.ak
McAfee+Artemis 5693 2009.07.30 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Trojan.B
Microsoft 1.4903 2009.07.31 Worm:Win32/Taterf.B
NOD32 4293 2009.07.31 Win32/PSW.OnLineGames.NNU
Norman 6.01.09 2009.07.30 -
nProtect 2009.1.8.0 2009.07.31 Trojan-PWS/W32.WebGame.107797.B
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 -
Rising 21.40.42.00 2009.07.31 Trojan.PSW.Win32.GameOLx.fo
Sophos 4.44.0 2009.07.31 Mal/Frethog-B
Sunbelt 3.2.1858.2 2009.07.31 Packed.WIn32.Krap.Gen (v)
Symantec 1.4.4.12 2009.07.31 Trojan Horse
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 TSPY_GAMANIA.DE
VBA32 3.12.10.9 2009.07.31 Trojan-GameThief.Win32.Magania.bpka
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.07.30 -
weitere Informationen
File size: 107797 bytes
MD5...: 656c831fd2b7d1152dc815e4f330f20c
SHA1..: 5526677a5e65adbca41ccfb616c1d94c3aef4d05
SHA256: e6d7508b51e6a02ee7e3c3a9e9d620a0bbf3889eaf423931e059fdf43fcc3100
ssdeep: 3072:Ivmbmn7dXO5WW1SJnrD4m4G4mz+TXWyQ+FT7e2L2X:Ivmbc5e5WDJnrD4mR
4mz+Tosne
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x38b34
timedatestamp.....: 0x4a59e64e (Sun Jul 12 13:34:06 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x5a5 0.80 317d380d9034b8855360be6ffedb2321
.data 0x21000 0x19000 0x18600 7.95 8c4d62dd3707f2f76305095311a5c83a
.rsrc 0x3a000 0xb963 0x1515 0.66 d566ff097a4c5840f61f0cb0977685cb
.rdata 0x46000 0x2642 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> KERNEL32.DLL: GetPriorityClass, EnumResourceLanguagesA, IsBadReadPtr, GetFileAttributesExA, LoadLibraryA, CreateEventA, ExitVDM, GetFullPathNameA, FileTimeToLocalFileTime, GetSystemDefaultLangID, GetComputerNameExA, GetCurrentProcessId, GetDateFormatA
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
|
|
31.07.2009, 10:33
| #11 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen C:\8dtyjjf.exe Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 Trojan-Downloader.Win32.Frethog!IK
AhnLab-V3 5.0.0.2 2009.07.30 Win-Trojan/Magania.109631
AntiVir 7.9.0.236 2009.07.31 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.07.31 -
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 Win32:Kamso
AVG 8.5.0.406 2009.07.31 Worm/AutoRun.GV
BitDefender 7.2 2009.07.31 Trojan.PWS.Onlinegames.KCOW
CAT-QuickHeal 10.00 2009.07.30 TrojanGameThief.Magania.bpcj
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.07.31 Trojan.Packed.191
eSafe 7.0.17.0 2009.07.30 Suspicious File
eTrust-Vet 31.6.6648 2009.07.30 Win32/Frethog.EXG
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 Trojan-GameThief.Win32.Magania.bpcj
Fortinet 3.120.0.0 2009.07.31 SPY/Magania
GData 19 2009.07.31 Trojan.PWS.Onlinegames.KCOW
Ikarus T3.1.1.64.0 2009.07.31 Trojan-Downloader.Win32.Frethog
Jiangmin 11.0.800 2009.07.31 Trojan/PSW.Magania.vwm
K7AntiVirus 7.10.806 2009.07.30 Trojan-PSW.Win32.Magania.bpcj
Kaspersky 7.0.0.125 2009.07.31 Trojan-GameThief.Win32.Magania.bpcj
McAfee 5693 2009.07.30 Generic PWS.ak
McAfee+Artemis 5693 2009.07.30 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Trojan.B
Microsoft 1.4903 2009.07.31 Worm:Win32/Taterf.B
NOD32 4293 2009.07.31 Win32/PSW.OnLineGames.NNU
Norman 6.01.09 2009.07.30 -
nProtect 2009.1.8.0 2009.07.31 Trojan/W32.Agent.109631
Panda 10.0.0.14 2009.07.30 Trj/Lineage.BZE
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 High Risk Worm
Rising 21.40.42.00 2009.07.31 Trojan.PSW.Win32.GameOnline.ega
Sophos 4.44.0 2009.07.31 Mal/Frethog-B
Sunbelt 3.2.1858.2 2009.07.31 Packed.WIn32.Krap.Gen (v)
Symantec 1.4.4.12 2009.07.31 W32.Gammima.AG
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 TROJ_GAMETHI.HFO
VBA32 3.12.10.9 2009.07.31 Trojan-GameThief.Win32.Magania.bpcj
ViRobot 2009.7.31.1863 2009.07.31 Trojan.Win32.PSWMagania.109631
VirusBuster 4.6.5.0 2009.07.30 Trojan.PWS.Magania.QRH
weitere Informationen
File size: 109631 bytes
MD5...: 4edf0156ecaaae44830f125db34045af
SHA1..: fe8a1e6c906f419ffd5c4a839817fa86c5037143
SHA256: 4bcee7c4aad1f2d3e67be93d38b5445815063c583558b1e4a3294576ecc5b6c3
ssdeep: 1536:3OKyZOkK7meYdaHp/nEKN1PVo7KdW+qBQ1qV/XSc7+b4sR95XZSC+Ux24Ry
nYRH:+KyZO97qkAa9q8b4W/SCNRyYR
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x38f99
timedatestamp.....: 0x4a59e3b5 (Sun Jul 12 13:23:01 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x554 0.97 d8a376eb7f5ee13a69debcb82a6a6575
.data 0x21000 0x19000 0x18c00 7.95 8b4ff28fcedaf397d1eb8920c1b632b3
.rsrc 0x3a000 0xbe00 0x163f 0.00 5812f7243746816881600c0ac2eed22e
.rdata 0x46000 0x3aec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> KERNEL32.DLL: GetVersionExW, GetCurrentProcessId, GetProfileSectionW, GetFileAttributesW, GetProfileSectionA, GetTapeParameters, GetCommandLineW, EnumTimeFormatsA, DeleteFiber, CreateFileMappingW, EndUpdateResourceA, IsBadReadPtr, GetSystemPowerStatus, GetProfileSectionW, GetCurrentProcessId, CopyFileA, LoadLibraryA, FindNextChangeNotification, GetCurrentDirectoryA, FindNextVolumeW, GetDiskFreeSpaceExA, GetNumberFormatW, EnumResourceTypesA, GetSystemDirectoryW, GetLocalTime, GetTempPathA, GetVersionExW, EraseTape, GetCurrentConsoleFont, GetProcessPriorityBoost, GetFullPathNameW, FatalExit
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=0A7239903FCE0D38ACC601ED34230F0051E2C1BA' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=0A7239903FCE0D38ACC601ED34230F0051E2C1BA</a>
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 Trojan-Downloader.Win32.Frethog!IK
AhnLab-V3 5.0.0.2 2009.07.30 Win-Trojan/Magania.108497
AntiVir 7.9.0.236 2009.07.31 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.07.31 Trojan/Win32.Magania.gen
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 Win32:Kamso
AVG 8.5.0.406 2009.07.31 Worm/AutoRun.GV
BitDefender 7.2 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@bKTIqY
CAT-QuickHeal 10.00 2009.07.30 TrojanGameThief.Magania.bopj
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 TrojWare.Win32.GameThief.Magania.bopj
DrWeb 5.0.0.12182 2009.07.31 Trojan.Packed.191
eSafe 7.0.17.0 2009.07.30 Win32.TRCrypt.ZPACK
eTrust-Vet 31.6.6648 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 Trojan-GameThief.Win32.Magania.bopj
Fortinet 3.120.0.0 2009.07.31 SPY/Magania
GData 19 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@bKTIqY
Ikarus T3.1.1.64.0 2009.07.31 Trojan-Downloader.Win32.Frethog
Jiangmin 11.0.800 2009.07.31 Trojan/PSW.Magania.vsh
K7AntiVirus 7.10.806 2009.07.30 Trojan-PSW.Win32.Magania.bopj
Kaspersky 7.0.0.125 2009.07.31 Trojan-GameThief.Win32.Magania.bopj
McAfee 5693 2009.07.30 Generic PWS.ak
McAfee+Artemis 5693 2009.07.30 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Trojan.B
Microsoft 1.4903 2009.07.31 Worm:Win32/Taterf.B
NOD32 4293 2009.07.31 Win32/PSW.OnLineGames.NNU
Norman 6.01.09 2009.07.30 W32/Smalltroj.dam
nProtect 2009.1.8.0 2009.07.31 Trojan/W32.Agent.108497
Panda 10.0.0.14 2009.07.30 Trj/Lineage.BZE
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 High Risk Cloaked Malware
Rising 21.40.42.00 2009.07.31 Trojan.PSW.Win32.GameOnline.efu
Sophos 4.44.0 2009.07.31 Mal/Frethog-B
Sunbelt 3.2.1858.2 2009.07.31 Packed.WIn32.Krap.Gen (v)
Symantec 1.4.4.12 2009.07.31 Trojan Horse
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 WORM_ONLINEG.NAK
VBA32 3.12.10.9 2009.07.31 Trojan-GameThief.Win32.Magania.bopj
ViRobot 2009.7.31.1863 2009.07.31 Trojan.Win32.PSWMagania.108497
VirusBuster 4.6.5.0 2009.07.30 Trojan.PWS.Magania.QSB
weitere Informationen
File size: 108497 bytes
MD5...: 53fca6b37b2ce1e4f7ac33113ecfdeee
SHA1..: 1a13b3e75575b5d2196b51f5495770f49e6050de
SHA256: 5a1c20cfc6b731396bb7e8ff0cee23797acee17647e9ad4b01c67d64026afc0d
ssdeep: 3072:GbVALbyLbxoUyHKBB/MLJU58onaoqEEJ326Ky2OJW9BO:GbmHIblULJOPhD
EJ32y2OuI
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x38b26
timedatestamp.....: 0x4a59e3b5 (Sun Jul 12 13:23:01 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x5ea 0.25 7ddc001305c9b28563a20303e16f3732
.data 0x21000 0x19000 0x18800 7.95 6e1469e76ecf8a5eecfee53e1642c972
.rsrc 0x3a000 0xb9b0 0x15d1 0.00 2d5056dfc379d969cef510041fe7f54f
.rdata 0x46000 0x3d16 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> KERNEL32.DLL: GetSystemTimeAsFileTime, GetCurrencyFormatA, GetThreadPriorityBoost, FileTimeToSystemTime, GlobalCompact, FindFirstFileA, EnumDateFormatsW, GetFullPathNameW, GetTapePosition, FindNextFileA, EnumTimeFormatsA, CreateFileMappingW, GetCurrentProcessId, GetWriteWatch, DeleteFileA, CreateFileMappingW, IsBadReadPtr, GetFileAttributesExA, GlobalLock, FreeLibrary, FindNextVolumeW, GetTimeFormatA, GetDefaultCommConfigA, FileTimeToLocalFileTime, GetLogicalDriveStringsA, FatalAppExitA, FoldStringW, FindResourceExA, GetProcessPriorityBoost, GetFileAttributesW, CreateThread, LoadLibraryA, EnumUILanguagesA, GetACP, FatalAppExitW, CreateFileW
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=87110F2BD13E9D6DA73401065C6FBF005BBD6251' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=87110F2BD13E9D6DA73401065C6FBF005BBD6251</a>
|
|
31.07.2009, 10:40
| #12 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen C:\w9hw8.exe Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 Trojan-GameThief.Win32.Magania!IK
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.236 2009.07.31 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2009.07.31 Trojan/Win32.Magania.gen
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 Win32:Kamso
AVG 8.5.0.406 2009.07.31 Worm/AutoRun.GV
BitDefender 7.2 2009.07.31 Trojan.Generic.2199909
CAT-QuickHeal 10.00 2009.07.30 TrojanGameThief.Magania.bokg
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.07.31 Trojan.Packed.191
eSafe 7.0.17.0 2009.07.30 Win32.TRDropper
eTrust-Vet 31.6.6648 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 Trojan-GameThief.Win32.Magania.bokg
Fortinet 3.120.0.0 2009.07.31 SPY/Magania
GData 19 2009.07.31 Trojan.Generic.2199909
Ikarus T3.1.1.64.0 2009.07.31 Trojan-GameThief.Win32.Magania
Jiangmin 11.0.800 2009.07.31 Trojan/PSW.Magania.vtg
K7AntiVirus 7.10.806 2009.07.30 Trojan-PSW.Win32.Magania.bokg
Kaspersky 7.0.0.125 2009.07.31 Trojan-GameThief.Win32.Magania.bokg
McAfee 5693 2009.07.30 Generic PWS.ak
McAfee+Artemis 5693 2009.07.30 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Trojan.B
Microsoft 1.4903 2009.07.31 Worm:Win32/Taterf.B
NOD32 4293 2009.07.31 Win32/PSW.OnLineGames.NNU
Norman 6.01.09 2009.07.30 -
nProtect 2009.1.8.0 2009.07.31 Trojan/W32.Agent.107689
Panda 10.0.0.14 2009.07.30 Trj/Lineage.BZE
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 High Risk Worm
Rising 21.40.42.00 2009.07.31 Trojan.PSW.Win32.GameOLx.fo
Sophos 4.44.0 2009.07.31 Mal/Frethog-B
Sunbelt 3.2.1858.2 2009.07.31 Packed.WIn32.Krap.Gen (v)
Symantec 1.4.4.12 2009.07.31 Trojan Horse
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 TSPY_GAMETHI.GAA
VBA32 3.12.10.9 2009.07.31 Trojan-GameThief.Win32.Magania.bokg
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.07.30 -
weitere Informationen
File size: 107689 bytes
MD5...: 825e36fbf9e45f7d69e33a9a72cccad3
SHA1..: 755416712d20cdf03d852c09a89d5d6dfa699e8a
SHA256: 0f6046862df2312e3cd74b594d5b5e83f0e66d616b0d05c1ba8a4c19debc027f
ssdeep: 3072:2ZGCIP8x9vclgb2lwD0VQoq1dFXqwOqQBY8E+nE:/s9vclgND0VfOdR1DQW
X
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x38bde
timedatestamp.....: 0x4a59e3b5 (Sun Jul 12 13:23:01 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x4d9 0.19 1657611c7cffd97456e542cf33cda5a1
.data 0x21000 0x19000 0x18600 7.96 6abbee38d0214f7cec14e58ac2f65b6b
.rsrc 0x3a000 0xba1d 0x14a9 0.00 be00be15836a7a3267173670b2f5df4d
.rdata 0x46000 0x2bcb 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> KERNEL32.DLL: EnumCalendarInfoA, GetStartupInfoA, CreateFileA, GetCurrentProcessId, GetPrivateProfileSectionNamesA, IsBadReadPtr, GlobalLock, GetEnvironmentStringsW, EnumResourceTypesA, LoadLibraryA, GetSystemDefaultLangID, GetFileInformationByHandle, GetCommMask
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=45264380A952C7B2A4F501F58873A400BB9D4320' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=45264380A952C7B2A4F501F58873A400BB9D4320</a>
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2009.07.30 Win-Trojan/OnlineGameHack.225762
AntiVir 7.9.0.236 2009.07.31 TR/Drop.Agent.ahdz
Antiy-AVL 2.0.3.7 2009.07.31 Trojan/Win32.Magania.gen
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 Win32:Kamso
AVG 8.5.0.406 2009.07.31 PSW.OnlineGames3.IJN
BitDefender 7.2 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@bmKVL7i
CAT-QuickHeal 10.00 2009.07.30 TrojanGameThief.Magania.bkyl
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.07.31 Trojan.Packed.191
eSafe 7.0.17.0 2009.07.30 Win32.TRDrop.Agent.A
eTrust-Vet 31.6.6648 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 Trojan-GameThief.Win32.Magania.bkyl
Fortinet 3.120.0.0 2009.07.31 SPY/Magania
GData 19 2009.07.31 Gen:Trojan.Heur.Nsanti.gqW@bmKVL7i
Ikarus T3.1.1.64.0 2009.07.31 Packed.Win32.Krap
Jiangmin 11.0.800 2009.07.31 Trojan/PSW.Magania.uhm
K7AntiVirus 7.10.806 2009.07.30 Trojan-PSW.Win32.Magania.bkyl
Kaspersky 7.0.0.125 2009.07.31 Trojan-GameThief.Win32.Magania.bkyl
McAfee 5693 2009.07.30 Generic PWS.ak
McAfee+Artemis 5693 2009.07.30 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.BehavesLike.Win32.Packed.B
Microsoft 1.4903 2009.07.31 Worm:Win32/Taterf.B
NOD32 4293 2009.07.31 Win32/PSW.OnLineGames.NNU
Norman 6.01.09 2009.07.30 OnLineGames.IAPV
nProtect 2009.1.8.0 2009.07.31 Trojan-PWS/W32.WebGame.111074
Panda 10.0.0.14 2009.07.30 W32/Autorun.JDO
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 High Risk Cloaked Malware
Rising 21.40.42.00 2009.07.31 Trojan.PSW.Win32.GameOLx.fo
Sophos 4.44.0 2009.07.31 Mal/Frethog-B
Sunbelt 3.2.1858.2 2009.07.31 Packed.WIn32.Krap.Gen (v)
Symantec 1.4.4.12 2009.07.31 Trojan Horse
TheHacker 6.3.4.3.374 2009.07.30 Trojan/Magania.bkyl
TrendMicro 8.950.0.1094 2009.07.31 TSPY_GAMETHI.GXM
VBA32 3.12.10.9 2009.07.31 Trojan-GameThief.Win32.Magania.bkyl
ViRobot 2009.7.31.1863 2009.07.31 Trojan.Win32.PSWMagania.111074
VirusBuster 4.6.5.0 2009.07.30 Trojan.PWS.Magania.PQQ
weitere Informationen
File size: 111074 bytes
MD5...: 6cfdb3767c17afdb580d027ef5f46f89
SHA1..: 011683fd0067d939dae4fb0c73f8ababe6e5f570
SHA256: 5e12548fe96e1d6c547d86c54bbe9b790a943fb91e309906b4c84bcea5076535
ssdeep: 3072:3Z18ziDTuzo2sd11x4fjJit3MPdWoKl/nxjSw6qzkm:plDTuzo7drx4LJit
uW//Iqk
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x36427
timedatestamp.....: 0x4a4d8633 (Fri Jul 03 04:16:51 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1d000 0x505 7.83 ebf0078307db6f26c22d6775bd868189
.data 0x1e000 0x1a000 0x19200 7.94 1b33c6ad104b2cc54047d8fe7b25cf9c
.rsrc 0x38000 0xb3ce 0x15e2 0.00 e47f721cd7af064d915812c3426acd84
.rdata 0x44000 0x2141 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> KERNEL32.DLL: GetCompressedFileSizeA, DeleteCriticalSection, FindClose, GetTempPathA, GetFileAttributesExW, CreateThread, DeviceIoControl, DeleteFiber, FindFirstFileA, GetStartupInfoW, LoadLibraryA, GetModuleFileNameW, GetACP, EnumDateFormatsW, GetVolumeInformationW, GetDiskFreeSpaceW, EnumSystemCodePagesA, CreateDirectoryExW, EnumSystemLocalesA, GetTapePosition, GetShortPathNameW, GetVolumePathNameW, GetFileAttributesA, EnterCriticalSection, GetLogicalDrives, GetCurrentProcessId, IsBadReadPtr, GetSystemDefaultLCID, GetDateFormatW, GetStringTypeExW, FindResourceExW, GetPriorityClass, GetTempFileNameW, GetEnvironmentVariableA, GetUserDefaultLangID, FindFirstFileExA
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=A369998AE215F81CB1FE01277F93C100B7B9A145' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=A369998AE215F81CB1FE01277F93C100B7B9A145</a>
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 BAT.Trojan.FormatCQ!IK
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.236 2009.07.31 TR/Spy.48128.16
Antiy-AVL 2.0.3.7 2009.07.31 -
Authentium 5.1.2.4 2009.07.31 W32/Backdoor2.ELUF
Avast 4.8.1335.0 2009.07.30 -
AVG 8.5.0.406 2009.07.31 -
BitDefender 7.2 2009.07.31 Trojan.Generic.1568657
CAT-QuickHeal 10.00 2009.07.30 Trojan.Agent.IRC
ClamAV 0.94.1 2009.07.30 Trojan.Dropper-19980
Comodo 1821 2009.07.31 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.07.31 Trojan.Hosts.82
eSafe 7.0.17.0 2009.07.30 Win32.GenericDropper
eTrust-Vet 31.6.6648 2009.07.30 Win32/Droplet.JY
F-Prot 4.4.4.56 2009.07.30 W32/Backdoor2.ELUF
F-Secure 8.0.14470.0 2009.07.31 -
Fortinet 3.120.0.0 2009.07.31 W32/Dropper_hv.H!tr
GData 19 2009.07.31 Trojan.Generic.1568657
Ikarus T3.1.1.64.0 2009.07.31 BAT.Trojan.FormatCQ
Jiangmin 11.0.800 2009.07.31 Trojan/Agent.cdnm
K7AntiVirus 7.10.806 2009.07.30 -
Kaspersky 7.0.0.125 2009.07.31 -
McAfee 5693 2009.07.30 Generic Dropper!hv.h
McAfee+Artemis 5693 2009.07.30 Generic Dropper!hv.h
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Dropper.H
Microsoft 1.4903 2009.07.31 -
NOD32 4293 2009.07.31 probably a variant of Win32/Agent
Norman 6.01.09 2009.07.30 -
nProtect 2009.1.8.0 2009.07.31 Trojan/W32.Agent.48128.AS
Panda 10.0.0.14 2009.07.30 Trj/CI.A
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 Medium Risk Malware
Rising 21.40.42.00 2009.07.31 -
Sophos 4.44.0 2009.07.31 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.31 Trojan.1
Symantec 1.4.4.12 2009.07.31 Trojan Horse
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 TROJ_BCKDR.AW
VBA32 3.12.10.9 2009.07.31 Trojan.Win32.Agent.bvxl
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.07.30 Backdoor.Agent.LXBB
weitere Informationen
File size: 48128 bytes
MD5...: fec5bb56cfdd0aae76f9caeb644b4a24
SHA1..: 35d9ed1659f5a48cc5b36ae4052ceeb3aad94f53
SHA256: de361e5eabafe18b2adc71480fa5f43fbf747ca14728ff3e3a2130507003b762
ssdeep: 768:A9J8NowRheD8/3rJiUqyet8w9abyzm5E50kyoVonvzRiZljBwiwo5sW3LhaN
IC43:A9wvQUreUbyzABq2mLha2On6
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xa0c0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x9558 0x9600 6.36 2bd3f16ed4bcb4c37d0078769daa28c3
DATA 0xb000 0x45c 0x600 3.09 d912183338edaf40b4cf455aba92f9f5
BSS 0xc000 0x965 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xd000 0x8ca 0xa00 4.23 2a435f04c2ff4ca8018ccdaabf9f19f1
.tls 0xe000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xf000 0x18 0x200 0.20 994c454bc9dd923a2dd36d6f9b3a0d6b
.reloc 0x10000 0xed8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x11000 0xf50 0x1000 3.95 61f24457688d9b665715c329b7892d41
( 7 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, WideCharToMultiByte, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SizeofResource, SetFilePointer, SetFileAttributesA, SetEnvironmentVariableA, SetEndOfFile, ReadFile, LockResource, LoadResource, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalAlloc, GetWindowsDirectoryA, GetVersionExA, GetThreadLocale, GetTempFileNameA, GetStringTypeExA, GetStdHandle, GetShortPathNameA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetDiskFreeSpaceA, GetCommandLineA, GetCPInfo, GetACP, FreeResource, FormatMessageA, FindResourceA, EnumCalendarInfoA, DeleteFileA, CreateProcessA, CreateFileA, CloseHandle
> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharPrevA, CharNextA, CharToOemA
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5D693BD000EFDD65BC3600B801C7FE0079FB1BCC' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5D693BD000EFDD65BC3600B801C7FE0079FB1BCC</a>
|
|
31.07.2009, 10:47
| #13 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen C:\WINDOWS\system32\yuqomtr Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.236 2009.07.31 -
Antiy-AVL 2.0.3.7 2009.07.31 -
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 -
AVG 8.5.0.406 2009.07.31 -
BitDefender 7.2 2009.07.31 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 -
DrWeb 5.0.0.12182 2009.07.31 -
eSafe 7.0.17.0 2009.07.30 -
eTrust-Vet 31.6.6648 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 -
Fortinet 3.120.0.0 2009.07.31 -
GData 19 2009.07.31 -
Ikarus T3.1.1.64.0 2009.07.31 -
Jiangmin 11.0.800 2009.07.31 -
K7AntiVirus 7.10.806 2009.07.30 -
Kaspersky 7.0.0.125 2009.07.31 -
McAfee 5693 2009.07.30 -
McAfee+Artemis 5693 2009.07.30 -
McAfee-GW-Edition 6.8.5 2009.07.31 -
Microsoft 1.4903 2009.07.31 -
NOD32 4293 2009.07.31 -
Norman 6.01.09 2009.07.30 -
nProtect 2009.1.8.0 2009.07.31 -
Panda 10.0.0.14 2009.07.30 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 -
Rising 21.40.42.00 2009.07.31 -
Sophos 4.44.0 2009.07.31 -
Sunbelt 3.2.1858.2 2009.07.31 -
Symantec 1.4.4.12 2009.07.31 -
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 -
VBA32 3.12.10.9 2009.07.31 -
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.07.30 -
weitere Informationen
File size: 90220 bytes
MD5...: 2e09c8f4a861de9dfeb44487173ab515
SHA1..: 34229111cad379b3333939ffc191cef62381debb
SHA256: 26fcf8c60acbfe1d52a06815a0c3dc1d94692c478e6654df94446b86a90cf9c7
ssdeep: 384:TPVBjAF5bIHAy1eSggIMy5B9ZyiUPrCoRAliD6w1r4rc9ahUIU+vipsemP7E
TP+M:TPoAxRAla1e8L5l8S3AsovZI
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.31 Trojan-Downloader.Win32.Frethog!IK
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.236 2009.07.31 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.07.31 Trojan/Win32.Magania.gen
Authentium 5.1.2.4 2009.07.31 -
Avast 4.8.1335.0 2009.07.30 Win32:Kamso
AVG 8.5.0.406 2009.07.31 PSW.Generic7.SLX
BitDefender 7.2 2009.07.31 Gen:Trojan.Heur.Nsanti.hq7@bGq2IWm
CAT-QuickHeal 10.00 2009.07.30 Worm.AutoRun.gen
ClamAV 0.94.1 2009.07.30 -
Comodo 1821 2009.07.31 TrojWare.Win32.GameThief.Magania.bpjw
DrWeb 5.0.0.12182 2009.07.31 Trojan.Packed.191
eSafe 7.0.17.0 2009.07.30 Suspicious File
eTrust-Vet 31.6.6648 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
F-Secure 8.0.14470.0 2009.07.31 Trojan-GameThief.Win32.Magania.bpjw
Fortinet 3.120.0.0 2009.07.31 W32/Gamania.O!tr.pws
GData 19 2009.07.31 Gen:Trojan.Heur.Nsanti.hq7@bGq2IWm
Ikarus T3.1.1.64.0 2009.07.31 Trojan-Downloader.Win32.Frethog
Jiangmin 11.0.800 2009.07.31 Trojan/PSW.Magania.vxn
K7AntiVirus 7.10.806 2009.07.30 -
Kaspersky 7.0.0.125 2009.07.31 Trojan-GameThief.Win32.Magania.bpjw
McAfee 5693 2009.07.30 Generic PWS.ak
McAfee+Artemis 5693 2009.07.30 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.LooksLike.Trojan.Crypt.ZPACK.L
Microsoft 1.4903 2009.07.31 PWS:Win32/Frethog.gen!B
NOD32 4293 2009.07.31 Win32/PSW.OnLineGames.ODJ
Norman 6.01.09 2009.07.30 -
nProtect 2009.1.8.0 2009.07.31 Trojan-PWS/W32.WebGame.115200.AQ
Panda 10.0.0.14 2009.07.30 Trj/Lineage.BZE
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.31 Medium Risk Malware
Rising 21.40.42.00 2009.07.31 Trojan.PSW.Win32.GameOLx.fo
Sophos 4.44.0 2009.07.31 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.31 Packed.WIn32.Krap.Gen (v)
Symantec 1.4.4.12 2009.07.31 Trojan Horse
TheHacker 6.3.4.3.374 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.31 Cryp_Krap
VBA32 3.12.10.9 2009.07.31 Trojan-GameThief.Win32.Magania.bpjw
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.07.30 -
weitere Informationen
File size: 115200 bytes
MD5...: 43d3030c304436ff3b80605be52cd28d
SHA1..: 49b1394e959c7022f34da2f9cf6235ec295eca61
SHA256: 135694d3b3336f596cc3a196244e72ccf04bf97ba53ccc70cc578165f2680472
ssdeep: 1536:1WjYp+No/1d90Q+BaOtbS7GXI8m70Tu0Y8x7xJ:1WjTo/1d9Wa2bvW0fYw
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2f4fb
timedatestamp.....: 0x4a59e64a (Sun Jul 12 13:34:02 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f000 0x54f 0.06 2022fe77b971fa41dd77bcadaa48e1a9
.data 0x20000 0x11000 0x10200 7.89 38a95af4502f2556c2b1e99e35fa20d3
.rsrc 0x31000 0xb32f 0x172a 0.61 b03a49c984f83078d287697d6c780333
.rdata 0x3d000 0x2117 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> KERNEL32.DLL: FindResourceExA, GetEnvironmentStringsA, GetWindowsDirectoryW, DosPathToSessionPathA, IsBadReadPtr, GetWindowsDirectoryW, GetPrivateProfileStructW, GetNamedPipeHandleStateW, CreateFiber, CopyFileW, GetProfileSectionW, GetVolumeNameForVolumeMountPointW, GetVolumePathNameA, GetVolumePathNameA, GetCommandLineA, GetPrivateProfileSectionW, FindNextFileA, GetProcessPriorityBoost, LoadLibraryA, EnumLanguageGroupLocalesA, EscapeCommFunction, EnumUILanguagesA, GetCurrentProcessId, CreateDirectoryExA, CreateDirectoryW, GetThreadContext
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4D4335B800CED154C2AE01DF4A8EA20074932169' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4D4335B800CED154C2AE01DF4A8EA20074932169</a>
|
|
31.07.2009, 22:27
| #14 |
| /// Helfer-Team | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen hi Bevor wir weiterfahren, möchte ich dein System noch nach Rootkits checken lassen: 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread |
|
01.08.2009, 10:37
| #15 |
| | Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen Hallo, habe getan wie mir geheißen :-)...allerdings hat das GMER-Programm nach einiger Zeit immer aufgrund eines Fehlers abgebrochen ("Es wurde versucht, Daten in einen schreibgeschützten Speicherbereich zu schreiben", die Datei amkovcsk.sys habe das verursacht). Habe es ein paarmal probiert, auch im abgesicherten Modus, kam aber immer wieder der Fehler. Poste hier mal, was GMER bis dahin ausgespuckt hat: Code:
ATTFilter GMER 1.0.15.15011 [8ztsnwlc.exe] - http://www.gmer.net
Rootkit scan 2009-08-01 11:05:27
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
Code 85BC72F8 ZwEnumerateKey
Code 85C28120 ZwFlushInstructionCache
Code 85BD7E9E IofCallDriver
Code 85BD4AC6 IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!IofCallDriver 804EF1A0 5 Bytes JMP 85BD7EA3
.text ntkrnlpa.exe!IofCompleteRequest 804EF230 5 Bytes JMP 85BD4ACB
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B5642 5 Bytes JMP 85C28124
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622DE0 5 Bytes JMP 85BC72FC
? srescan.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[200] ntdll.dll!LdrLoadDll 7C925CD3 5 Bytes JMP 0095000A
.text C:\WINDOWS\system32\svchost.exe[468] ntdll.dll!LdrLoadDll 7C925CD3 5 Bytes JMP 0065000A
.text C:\WINDOWS\system32\winlogon.exe[696] ntdll.dll!LdrLoadDll 7C925CD3 5 Bytes JMP 0065000A
.text C:\WINDOWS\system32\services.exe[740] ntdll.dll!LdrLoadDll 7C925CD3 5 Bytes JMP 0064000A
.text C:\WINDOWS\system32\Ati2evxx.exe[908] ntdll.dll!LdrLoadDll 7C925CD3 5 Bytes JMP 0095000A
.text ...
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F7A3354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F7A3320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F7A33256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F7A3352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F7A334FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B5F6ECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F7A3354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B5F6F1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B5F6F320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B5F6EE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [F7A3354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B5F6EE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B5F6ECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B5F6F1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B5F6F320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B5F6ECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B5F6F320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F7A3354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B5F6F1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B5F6EE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B5F6F320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F7A3354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B5F6F1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B5F6ECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [B5F6EE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [B5F6ECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [B5F6F1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [B5F6F320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F7A3354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B5F6ECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B5F6EE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F7A3354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B5F6F320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B5F6F1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----
|
|
| Themen zu Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen |
| .dll, antivir, avira, computer, dateien, einstellungen, explorer, externe festplatte, festplatte, frage, hijack.system.hidden, logfile, malwarebytes, microsoft, namen, ordner, registrierungsschlüssel, security.hijack, software, spyware.onlinegames, system32, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/dropper.gen, trojan.agent, trojan.backdoor, trojaner, trojaner tr/crypt.xpack.gen, userinit.exe, versteckte dateien, windows, zu lang |
Linear-Darstellung
