Moinsen:

Seit ein paar Tagen passieren komische Dinge auf meinem PC.
Die Windows Firewall schaltet sich z.B. ab... usw.

Ein Scan mit

• Spybot - Search & Destroy
• Malwarebytes' Anti-Malware
• Antivir

brachte plötzlich ne Menge Trojaner und Malware zum Vorschein. Habe diese dann entfernt > einen Tag später wieder ein paar drauf. (Ich scanne sonst regelmäßig und habe ganze selten mal was drauf)

Im Abgesicherten Modus von Windows zeigte Antivir plötzlich den Bootvirus

BOO/Sinowal.E

an, welchen Antivir nicht entfernen konnte. Nochmalige Scans zeigten den Virus dann aber nicht mehr an.

Ein Scan mit GMER wies dann auf einen Virus im Bootsektor hin.
Mitlerweile zeigt GMER das hier an:

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Habe ich den Virus noch?

Gmer findet zwar eine Kopie meines MBR (welchen der Virus zur Tarnung kopiert hat), auf eine Infektion weist GMER aber nicht hin.

Hier noch die hijack logs:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:25, on 29.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4329.1504\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\JoergN\Anwendungsdaten\Macromedia\Common\4392002619.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1222324301
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144962436000
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignalonline.com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O24 - Desktop Component 1: WEB.DE - Mo, 15.05.2006, aktualisiert: 00:36 - http://www.web.de/

--
End of file - 9854 bytes

Danke!

Achja: Habe gelese, dass ich den MBR in der Windows Reparaturkonsole neu überspielen kann. Dann wäre der Virus mit hinreichender Wahrscheinlichkeit weg.
Ich habe nur meine WindowsCD nicht mehr und komme somit auch nicht in die Reparaturkonsole.
Wie kann ich den MBR noch SICHER überspielen?

Hi,

mach es am besten so:

fixmbr/fixboot:

Gehe folgendermaßen vor, um die Wiederherstellungskonsole von der Windows XP-Startdiskette oder der Windows XP-CD/DVD zu starten:

1. Lege die Windows XP-Startdiskette in das Diskettenlaufwerk ein, oder lege die Windows XP-CD/DVD in das CD/DVD-Laufwerk ein, und starte den Computer anschließend erneut.
2. Wenn Du dazu aufgefordert wirst, wähle alle Optionen aus, die für einen Start des Computers von CD/DVD erforderlich sind.
3. Wenn die Willkommensseite angezeigt wird, starte mit der Taste [R] die Wiederherstellungskonsole.
4. Wähle die Installation aus, auf die Du von der Wiederherstellungskonsole aus zugreifen möchtest, falls Du über ein Dual-Boot- oder Multiple-Boot-System verfügst.
5. Gib das Administratorkennwort ein, wenn Du dazu aufgefordert wirst Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücke einfach die [EINGABETASTE].
6. Gib in der Eingabeaufforderung die erforderlichen Befehle ein, um Deine Windows XP-Installation zu diagnostizieren und zu reparieren:

=> fixmbr \device\harddisk0

=> fixboot \device\harddisk0


Poste bitte auch noch das GMER Logfile.

@Silent sharK

Danke schonmal.

1. Wie ich unten schrieb, bin ich nicht mehr im Besitz meiner WindowsXP-CD.
Kann man sich für die Wiederherstellung des MBR irgendwoanders eine BootCD laden?

2. GMER-Logfile habe ich unten gepostet.
Die Logfiles der erweiterten Version (windowsversion), poste gleich. (Scan läuft gerade)

Brenn dir eine neue Windows CD.

Aber bitte von einem sauberen Rechner.

Man mag es nicht glauben, aber ich habe doch tatsächlich noch die WindowsCD gefunden.

fixmbr & fixboot habe ich ausgeführt

Malware & Virenscan zeigten keine Abnormalitäten an.


Trotzdem findet GMER immer noch eine Kopie des MBR
komisch??!???

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Dass ein schädlicher Code gefunden wurde, muss nicht heißen, dass es dir auch schadet. Wichtig ist das Fettgeschriebene:

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Gehe nun bitte wie folgt vor:

1.)

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\JoergN\Anwendungsdaten\Macromedia\Co mmon\4392002619.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

2.)
Silentrunners:

• Lade Dir Silent Runners.vbs und speichere es auf Deinen Desktop ab.
• Starte Silentrunners mit einem Doppelklick.
• Klicke auf Ja um den Suchlauf zu starten.
• Am Ende des Scans erscheint eine Message Box, dass der Vorgang beendet ist und der Name der Log-Datei (Silent Runners %Computer Name%Datum.txt).
• Poste den kompletten Inhalt des Logs in die nächste Antwort.

Hinweis:
Silent Runners.vbs wird eventuell von deinem AVP (Antivirenprogramm) als bösartiges Script erkannt. Dies ist ein Fehlalarm und kann ignoriert werden.


3.)
Gmer scannen lassen

Benenne gmer.exe vor dem Ausführen in dsyxxjn.exe um!

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

4.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

http://www.virustotal.com/de/analisis/e81d6852f6659ff83ee8c158fb649e638c0f3476db86e8ba65f9982a609c7f04-1254131379

Hier schon mal der Link zur Dateiüberprüfung

Der Link funktioniert nicht, kopiere lieber die Ergebnisse ab zu der Datei.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.28 -
AhnLab-V3 5.0.0.2 2009.09.28 -
AntiVir 7.9.1.27 2009.09.28 -
Antiy-AVL 2.0.3.7 2009.09.28 -
Authentium 5.1.2.4 2009.09.27 -
Avast 4.8.1351.0 2009.09.27 -
AVG 8.5.0.412 2009.09.28 -
BitDefender 7.2 2009.09.28 -
CAT-QuickHeal 10.00 2009.09.26 -
ClamAV 0.94.1 2009.09.28 -
Comodo 2458 2009.09.28 -
DrWeb 5.0.0.12182 2009.09.28 -
eSafe 7.0.17.0 2009.09.24 -
eTrust-Vet 31.6.6763 2009.09.27 -
F-Prot 4.5.1.85 2009.09.27 -
F-Secure 8.0.14470.0 2009.09.28 -
Fortinet 3.120.0.0 2009.09.28 -
GData 19 2009.09.28 -
Ikarus T3.1.1.72.0 2009.09.28 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.855 2009.09.26 -
Kaspersky 7.0.0.125 2009.09.28 -
McAfee 5754 2009.09.27 -
McAfee+Artemis 5754 2009.09.27 -
McAfee-GW-Edition 6.8.5 2009.09.28 -
Microsoft 1.5005 2009.09.23 -
NOD32 4463 2009.09.28 -
Norman 6.01.09 2009.09.28 -
nProtect 2009.1.8.0 2009.09.28 -
Panda 10.0.2.2 2009.09.27 -
PCTools 4.4.2.0 2009.09.28 -
Prevx 3.0 2009.09.28 -
Rising 21.49.02.00 2009.09.28 -
Sophos 4.45.0 2009.09.28 Troj/Riern-Fam
Sunbelt 3.2.1858.2 2009.09.27 -
Symantec 1.4.4.12 2009.09.28 -
TheHacker 6.5.0.2.019 2009.09.26 -
TrendMicro 8.950.0.1094 2009.09.25 -
VBA32 3.12.10.11 2009.09.27 -
ViRobot 2009.9.28.1959 2009.09.28 -
VirusBuster 4.6.5.0 2009.09.27 -
weitere Informationen
File size: 3584 bytes
MD5 : 317bdfcee92b494b47d96c332d89dc5b
SHA1 : 5300146db9176cec2d663a3f6e2a476b146f270c
SHA256: e81d6852f6659ff83ee8c158fb649e638c0f3476db86e8ba65f9982a609c7f04
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1185
timedatestamp.....: 0x4ABEFD06 (Sun Sep 27 07:49:58 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x38F 0x400 5.83 63dcf874fbfb0c840aeabf2fd03783c7
.rdata 0x2000 0x54 0x200 0.63 16b4ff9036790e407462d181731d53a4
.data 0x3000 0x264 0x400 4.47 4a1c017ac22f4d1f85c22825d70e5754

( 1 imports )

> kernel32.dll: ExitProcess

( 0 exports )

TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 48:quY0YInlcvZNg5ckCTq/36agBcwtrLMz8EKDs:dY4WvZNgqkCTk3TgWwtrLC8Eqs
PEiD : -
RDS : NSRL Reference Data Set

kurz reinspring

prüf die datei bitte nochmal bei jotti.

Jottis Malwarescanner

und kopiere das komplette ergebnis.

machst du online geldgeschäfte?

852f004c19.exe - Jottis Malwarescanner

Wieder über Sophos diesen einen Trojaner gefunden. Werde die Datei jetzt löschen.

Hier hatte jemand den gleichen Trojaner/Virus in der gleichen Datei
http://www.trojaner-board.de/77275-t...r-virus-2.html