wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?

hackmaier · 12.05.2008, 21:39

Hallo,
habe gerade ne Datei von meinem Dad bekommen und sie geöfnet.Nun Steht auf dem Desktop:Warning,Spyware detected on your computer.....
Hatte natürlich wieder mal kein Virenprogramm drauf.
Antivir hat 2 Viren gefunden:

AntiVir PersonalEdition Premium
Report file date: Montag, 12. Mai 2008 22:00

Scanning for 1036370 virus strains and unwanted programs.

Licensed to: Demo Version
Serial number:
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Administrator
Computer name: HOME-PC

Version information:
BUILD.DAT : 307 17200 Bytes 10.09.2007 14:44:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16.08.2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21.08.2007 11:35:20
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:32:40
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 11:32:46
ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25.08.2007 16:21:02
ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28.08.2007 06:22:36
AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29.08.2007 16:09:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2576424 Bytes 07.08.2007 11:51:06
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21.08.2007 12:03:18
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\programme\avira\antivir personaledition premium\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: H:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: Montag, 12. Mai 2008 22:00

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'AcroRd32.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'avesvc.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'CALMAIN.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'nTuneService.exe' - '1' Module(s) have been scanned
Scan process 'skypePM.exe' - '1' Module(s) have been scanned
Scan process 'setup_526_1_.exe' - '1' Module(s) have been scanned
Scan process 'daemon.exe' - '1' Module(s) have been scanned
Scan process 'Skype.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'ctfmona.exe' - '1' Module(s) have been scanned
Scan process 'SWTrayV4.EXE' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
37 processes with 37 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '39' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dhcpsrv.exe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '488ba42d.qua'!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ms1210620797.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4859a43e.qua'!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HAN8NEWY\count[2].php
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '489da5c7.qua'!
C:\WINDOWS\explorer.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\eio.dll
[WARNING] The file could not be read!
C:\WINDOWS\system32\lsass.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\services.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\spoolsv.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\svchost.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\winlogon.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

End of the scan: Montag, 12. Mai 2008 22:27
Used time: 26:46 min

The scan has been done completely.

5042 Scanning directories
180281 Files were scanned
2 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
3 files were moved to quarantine
0 files were renamed
9 Files cannot be scanned
180279 Files not concerned
1219 Archives were scanned
9 Warnings
0 Notes

---------------------------------------------------------------------------
Habe nun schon ein wenig bei euch rumgesucht.Aber nicht wirklich mit erfolg.
Will nicht alles neu machen.Kann mir jemand helfen?
Hier noch der HJT log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:09, on 12.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_526_1_.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [cc4ccedc] rundll32.exe "C:\WINDOWS\system32\eqwmhflt.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [InstallProgram] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_526_1_.exe
O4 - HKCU\..\Run: [InetChk] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe work
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{365B165A-82ED-4A9A-8E0A-6B741F161F44}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: mpfanvqg - {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll
O21 - SSODL: vbksrofa - {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: sQAeyZFH - {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\System32\eio.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 6039 bytes
---------------------------------------------------------------------------
Hoffe da kann jemand was mit anfangen ,ich nicht

Was sollte ich ab nun vermeiden ?
Banking?
Surfen ?
BF" zocken?
Ebay`en?

Für Eure schnellen Antworten bedanke ich mich jetzt schon mal im voraus.
DANKE

hackmaier · 12.05.2008, 21:53

Mir ist auch aufgefallen wenn ich den Task Maneger öffnen will kommt:
Der Task manager wurde durch den Administrator deaktivirt.

nochdigger · 13.05.2008, 04:57

Moin

Zitat:

habe gerade ne Datei von meinem Dad bekommen und sie geöfnet

schöner Vater

Zitat:

Was sollte ich ab nun vermeiden ?

Banking? <- unterlassen
Surfen ? <- stark eingeschränkt nur das nötigste
BF" zocken? <- offline
Ebay`en? <- unterlassen

Mach bitte alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Dateien

Zitat:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dhcpsrv.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ms1210620797.exe
C:\WINDOWS\system32\eio.dll
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\eqwmhflt.dll
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\vbksrofa.dll

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

raman · 13.05.2008, 06:33

Nur als gut gemeinter Ratschlag. Man sollte sein AV Programm ab und an aktualisieren. Damit meine ich eher einmal am Tag und nicht einmal im Jahr!

AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29.08.2007 16:09:10

hackmaier · 13.05.2008, 06:53

Moin,
ja nee is schon klar.
hatte gestern gar kein Virenprog. drauf.(ich depp)
konnte es gestern nur runterladen und insterliren keine updats möglich.
Rechner ist nach 5min immer eingefrohren.

Gleich kommen die neuen logs.Hoffe das sich schon was geändert hat habe avir.updat gemacht und getestet,spybotdurchlaufen lassen........

Bis später

hackmaier · 13.05.2008, 08:38

Hier nochmal HJT Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:55, on 13.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: (no name) - {010D48BE-FAF5-4B15-BFFD-2894CEB5DCBE} - C:\WINDOWS\system32\geBrsPIb.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E2C80A5-AD44-47AF-9F5C-5E1078636D87} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {97F7302A-147C-4435-901C-184375993BE6} - C:\WINDOWS\system32\yaywvSLC.dll
O2 - BHO: QXK Rhythm - {BA99F228-D9E2-47D5-9A8D-A295E8E52E93} - C:\WINDOWS\fvowketqplo.dll
O2 - BHO: (no name) - {D339730D-9EEA-4F2E-B04A-67E0DF888115} - C:\WINDOWS\system32\nnnnlKba.dll (file missing)
O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll (file missing)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA8662] command /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1048] cmd /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4505] command /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4538] cmd /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{365B165A-82ED-4A9A-8E0A-6B741F161F44}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: yaywvSLC - C:\WINDOWS\SYSTEM32\yaywvSLC.dll
O21 - SSODL: mpfanvqg - {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll (file missing)
O21 - SSODL: vbksrofa - {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll (file missing)
O21 - SSODL: sQAeyZFH - {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\system32\eio.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 6375 bytes

Der letzte Avir scan mit aktuellem update:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 13. Mai 2008 08:26

Es wird nach 1262699 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05.05.2008 23:39:31
ANTIVIR3.VDF : 7.0.4.27 146944 Bytes 12.05.2008 23:39:31
Engineversion : 8.1.0.42
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.31 262522 Bytes 12.05.2008 23:39:36
AESCN.DLL : 8.1.0.16 119156 Bytes 12.05.2008 23:39:36
AERDL.DLL : 8.1.0.20 418165 Bytes 12.05.2008 23:39:35
AEPACK.DLL : 8.1.1.4 364918 Bytes 12.05.2008 23:39:35
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 12.05.2008 23:39:34
AEHEUR.DLL : 8.1.0.26 1237366 Bytes 12.05.2008 23:39:34
AEHELP.DLL : 8.1.0.14 115063 Bytes 12.05.2008 23:39:33
AEGEN.DLL : 8.1.0.20 299380 Bytes 12.05.2008 23:39:33
AEEMU.DLL : 8.1.0.6 430451 Bytes 12.05.2008 23:39:32
AECORE.DLL : 8.1.0.28 168310 Bytes 12.05.2008 23:39:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 13. Mai 2008 08:26

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SWTrayV4.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP218\A0050582.dll
[FUND] Ist das Trojanische Pferd TR/Vapsup.elp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48593895.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'

Ende des Suchlaufs: Dienstag, 13. Mai 2008 08:47
Benötigte Zeit: 21:19 min

Der Suchlauf wurde vollständig durchgeführt.

5508 Verzeichnisse wurden überprüft
193612 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
193611 Dateien ohne Befall
1186 Archive wurden durchsucht
2 Warnungen
1 Hinweise

Nun die mit Jotti geprüften Dateien:

Zuletzt gefundene Malware war EGUI.EXE, gefunden von:

Scanner Name der Malware
A-Squared X
AntiVir X
ArcaVir X
Avast Win32:Virut
AVG Antivirus X
BitDefender X
ClamAV W32.Virut.Gen.C-94
CPsecure X
Dr.Web X
F-Prot Antivirus X
F-Secure Anti-Virus X
Fortinet X
Ikarus X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
Panda Antivirus X
Sophos Antivirus X
VirusBuster X
VBA32 X

Die anderen Dateien konnten nicht gefunden werden.
Hoffe,das ich es richtig gemacht habe.

hackmaier · 13.05.2008, 09:22

Ups
Hab gerad mal ein wenig im Forum gelesen.
Also mit dem Scan der Dateien ist wohl etwas schief gelaufen.
Ich kann die Dateien nicht finden oder der Scan wir nicht beendet.Habe schon 30 min. gewartet.

nochdigger · 13.05.2008, 16:10

Hallo

lade die EGUI.EXE bitte mal hier hoch
Submit your sample
du wirst in wenigen Tagen eine Analyse der Datei bekommen, berichte dann bitte.

Erstelle bitte mit der Filelist eine Übersicht deines Systems
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 3 Monate, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 3 Monate sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

hackmaier · 13.05.2008, 17:46

Hallo,hier die Liste:
----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC4C-CE73

Verzeichnis von C:\

13.05.2008 08:00 2.145.386.496 pagefile.sys
16.03.2008 09:44 418 InstallHelper.log
08.03.2008 01:22 87 AUTOEXEC.BAT
08.03.2008 01:19 80 FilterLog.log
07.03.2008 20:26 0 CONFIG.SYS
07.03.2008 20:26 0 MSDOS.SYS
07.03.2008 20:26 0 IO.SYS
07.03.2008 20:22 211 boot.ini
01.06.2006 21:06 251.184 ntldr
01.06.2006 21:06 4.952 bootfont.bin
01.06.2006 21:06 47.564 NTDETECT.COM
11 Datei(en) 2.145.690.992 Bytes
0 Verzeichnis(se), 24.795.181.056 Bytes frei
- - - - - - - - - - - - - - - - - -
----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC4C-CE73

Verzeichnis von C:\WINDOWS\system32

13.05.2008 18:41 1.362 abKlnnnn.ini
13.05.2008 18:38 1.362 abKlnnnn.ini2
13.05.2008 00:58 1.490.286 tnegxbfx.ini
13.05.2008 00:57 0 clkcnt.txt
13.05.2008 00:57 319.104 nnnnlKba.dll_old
13.05.2008 00:35 392.432 perfh009.dat
13.05.2008 00:35 70.778 perfc007.dat
13.05.2008 00:35 405.448 perfh007.dat
13.05.2008 00:35 58.732 perfc009.dat
13.05.2008 00:35 938.224 PerfStringBackup.INI
13.05.2008 00:12 12.217 bIPsrBeg.ini
13.05.2008 00:10 12.217 bIPsrBeg.ini2
12.05.2008 23:50 1.490.466 tlfhmwqe.ini
12.05.2008 23:23 160.256 blackster.scr
12.05.2008 23:23 269.334 ctfmonb.bmp
12.05.2008 21:33 1 kr_done1de
12.05.2008 21:33 29.312 fccYqpop.dll
12.05.2008 21:33 29.312 yaywvSLC.dll
10.05.2008 22:26 107.832 PnkBstrB.exe
09.05.2008 06:13 2.206 wpa.dbl
01.05.2008 18:02 56 ezsidmv.dat
01.05.2008 13:46 66.872 PnkBstrA.exe
25.04.2008 05:56 190.592 FNTCACHE.DAT
31.03.2008 23:25 161.096 DivXCodecVersionChecker.exe
31.03.2008 23:25 823.296 divx_xx07.dll
31.03.2008 23:25 823.296 divx_xx0c.dll
31.03.2008 23:25 802.816 divx_xx11.dll
31.03.2008 23:25 831.488 divx_xx0a.dll
31.03.2008 23:25 682.496 DivX.dll
24.03.2008 21:45 630.784 divxdec.ax
21.03.2008 22:30 4.816 divxsm.tlb
21.03.2008 22:30 524.288 DivXsm.exe
21.03.2008 22:30 10.152 dsm_de.qm
21.03.2008 22:30 3.596.288 qt-dx331.dll
21.03.2008 22:30 1.044.480 libdivx.dll
21.03.2008 22:30 200.704 ssldivx.dll
21.03.2008 22:28 416 dpl100.dll.manifest
21.03.2008 22:28 81.920 dpl100.dll
21.03.2008 22:28 196.608 dtu100.dll
21.03.2008 22:28 416 dtu100.dll.manifest
21.03.2008 22:28 53.248 dpuGUI10.dll
21.03.2008 22:28 3.051 dtu_de.qm
21.03.2008 22:28 344.064 dpus11.dll
21.03.2008 22:28 294.912 dpu11.dll
21.03.2008 22:28 593.920 dpuGUI11.dll
21.03.2008 22:28 57.344 dpv11.dll
21.03.2008 22:28 294.912 dpu10.dll
21.03.2008 22:28 352.401 DivXMedia.ax
21.03.2008 22:28 12.288 DivXWMPExtType.dll
21.03.2008 22:28 8.523 dpude.qm
20.03.2008 19:06 34.064 lhacm.acm
08.03.2008 01:44 1.024 PQ_DEBUG.TXT
08.03.2008 01:40 43 blue.SITENAME
08.03.2008 01:18 7.006 jupdate-1.5.0_06-b05.log
08.03.2008 01:16 15.360 BASSMOD.dll
07.03.2008 21:42 146.650 BuzzingBee.wav
07.03.2008 21:42 940.794 LoopyMusic.wav
07.03.2008 21:27 161.372 nvapps.xml
07.03.2008 21:06 3 EUupdate.installed
07.03.2008 21:01 3.528 TZLog.log
07.03.2008 20:56 3 vbrun60sp6.installed
07.03.2008 20:50 3 Wordpad-Converter-ZLib-update.installed
07.03.2008 20:36 23.392 nscompat.tlb
07.03.2008 20:36 16.832 amcompat.tlb
07.03.2008 20:32 3.292 $winnt$.inf
07.03.2008 20:26 2.951 CONFIG.NT
07.03.2008 20:25 488 logonui.exe.manifest
07.03.2008 20:25 488 WindowsLogon.manifest
07.03.2008 20:25 749 cdplayer.exe.manifest
07.03.2008 20:25 749 sapi.cpl.manifest
07.03.2008 20:25 749 wuaucpl.cpl.manifest
07.03.2008 20:25 749 ncpa.cpl.manifest
07.03.2008 20:25 749 nwc.cpl.manifest
07.03.2008 20:24 21.740 emptyregdb.dat
07.03.2008 20:22 0 h323log.txt
20.02.2008 13:31 1.044.480 roboex32.dll
20.02.2008 13:31 49.152 inetwh32.dll
11.01.2008 07:32 44.544 pngfilt.dll
- - - - - - - - - - - - - - - - - -- - - - - -
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC4C-CE73

Verzeichnis von C:\WINDOWS\Prefetch

13.05.2008 18:41 11.210 FIND.EXE-0EC32F1E.pf
13.05.2008 18:41 12.020 CMD.EXE-087B4001.pf
13.05.2008 18:41 35.894 WINRAR.EXE-3588DFE8.pf
13.05.2008 18:41 11.288 VERCLSID.EXE-3667BD89.pf
13.05.2008 18:38 54.548 IEXPLORE.EXE-2CA9778D.pf
13.05.2008 18:33 30.460 AVWSC.EXE-3AC95876.pf
13.05.2008 18:13 64.194 WMIPRVSE.EXE-28F301A9.pf
13.05.2008 17:43 76.268 FIREFOX.EXE-1D57670A.pf
13.05.2008 17:06 419.074 Layout.ini
13.05.2008 16:38 86.850 HELPSVC.EXE-2878DDA2.pf
13.05.2008 15:04 144.358 ACDSEE8.EXE-248AAA39.pf
13.05.2008 10:30 16.880 RUNDLL32.EXE-154997DB.pf
13.05.2008 09:23 15.990 NOTEPAD.EXE-336351A9.pf
13.05.2008 09:22 42.642 AVCENTER.EXE-324B1681.pf
13.05.2008 09:18 18.990 HIJACKTHIS.EXE-39024128.pf
13.05.2008 08:49 58.872 SDUPDATE.EXE-30CF90C0.pf
13.05.2008 08:48 67.212 SPYBOTSD.EXE-1D495A65.pf
13.05.2008 08:47 55.424 AVSCAN.EXE-0D0CD933.pf
13.05.2008 08:06 20.922 WMIADAP.EXE-2DF425B2.pf
13.05.2008 08:03 76.348 SKYPEPM.EXE-03F1BFBD.pf
13.05.2008 08:03 1.479.646 NTOSBOOT-B00DFAAD.pf
13.05.2008 07:59 20.346 LOGONUI.EXE-0AF22957.pf
13.05.2008 07:33 59.742 AVNOTIFY.EXE-0B59FC42.pf
13.05.2008 07:33 116.726 ACRORD32.EXE-0EC716D9.pf
13.05.2008 07:32 120.422 DFRGNTFS.EXE-269967DF.pf
13.05.2008 07:23 17.952 GUARDGUI.EXE-3AFB6D88.pf
13.05.2008 01:38 23.232 RUNONCE.EXE-2803F297.pf
13.05.2008 01:34 21.428 WMIAPSRV.EXE-1E2270A5.pf
13.05.2008 01:34 22.192 SVCHOST.EXE-3530F672.pf
13.05.2008 01:34 12.132 CALMAIN.EXE-2403E25F.pf
13.05.2008 01:34 19.478 NTUNESERVICE.EXE-1E5E02B5.pf
13.05.2008 01:34 24.602 NVSVC32.EXE-1F9EED18.pf
13.05.2008 01:34 11.216 PNKBSTRA.EXE-188A67A9.pf
13.05.2008 01:34 15.892 RUNDLL32.EXE-1857459C.pf
13.05.2008 01:34 23.462 RUNDLL32.EXE-35A483DA.pf
13.05.2008 00:56 81.280 TASKMGR.EXE-20256C55.pf
13.05.2008 00:55 62.876 SKYPE.EXE-21F19BC8.pf
12.05.2008 21:38 57.108 WUAUCLT.EXE-399A8E72.pf
12.05.2008 21:33 78.940 EXPLORER.EXE-082F38A9.pf
12.05.2008 08:43 84.386 GOOGLEEARTH.EXE-0978F2AD.pf
11.05.2008 08:34 59.072 WINAMP.EXE-08C38ED9.pf
11.05.2008 01:06 20.424 RUNDLL32.EXE-2A94BB85.pf
11.05.2008 01:06 21.240 RUNDLL32.EXE-2E5AF1D7.pf
10.05.2008 22:26 14.244 PNKBSTRB.EXE-21412697.pf
10.05.2008 22:25 8.534 ~E5.0001-37C48A99.pf
10.05.2008 22:25 33.772 BF2.EXE-08323240.pf
10.05.2008 22:09 12.266 AUTORUN.EXE-055703AF.pf
47 Datei(en) 3.842.054 Bytes
0 Verzeichnis(se), 24.795.058.176 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC4C-CE73

Verzeichnis von C:\WINDOWS

13.05.2008 18:39 18.250 rs.txt
13.05.2008 09:04 308 wininit.ini
13.05.2008 08:02 0 0.log
13.05.2008 08:02 159 wiadebug.log
13.05.2008 08:02 50 wiaservc.log
13.05.2008 08:00 2.048 bootstat.dat
13.05.2008 08:00 30.976 SchedLgU.Txt
13.05.2008 07:59 307.568 WindowsUpdate.log
13.05.2008 00:04 240.586 ntbtlog.txt
12.05.2008 21:02 116 NeroDigital.ini
12.05.2008 19:24 81.920 oadkxrts.exe
12.05.2008 19:24 217.088 fvowketqplo.dll
06.05.2008 20:17 912.778 setupapi.log
28.04.2008 15:27 3.686.454 ACD Hintergrund.bmp
07.04.2008 12:53 70.821 DirectX.log
17.03.2008 09:53 6.165 wmsetup.log
13.03.2008 22:37 203.751 setupact.log
11.03.2008 12:55 0 AS_Debug.txt
11.03.2008 12:55 21.623 Ascd_tmp.ini
09.03.2008 12:09 288 wincmd.ini
08.03.2008 01:41 232 attach.log
08.03.2008 01:41 404 VFO.VST
08.03.2008 01:40 1.194 VFO.INI
08.03.2008 01:20 37 install_Studio10.log
08.03.2008 01:09 1.142 mozver.dat
07.03.2008 22:19 0 nsreg.dat
07.03.2008 21:44 180 atcl01setup.log
07.03.2008 21:39 39.695 ehOCGen.log
07.03.2008 21:39 49.926 MedCtrOC.log
07.03.2008 21:39 794.425 iis6.log
07.03.2008 21:39 149.997 ntdtcsetup.log
07.03.2008 21:39 330.329 tsoc.log
07.03.2008 21:39 36.618 tabletoc.log
07.03.2008 21:39 1.355 imsins.log
07.03.2008 21:39 248.060 comsetup.log
07.03.2008 21:39 39.063 ocmsn.log
07.03.2008 21:39 4.517 KB888111.log
07.03.2008 21:39 124.869 netfxocm.log
07.03.2008 21:39 344.072 ocgen.log
07.03.2008 21:39 35.026 msgsocm.log
07.03.2008 21:39 83.798 plusoc.log
07.03.2008 21:39 708.734 FaxSetup.log
07.03.2008 21:39 222.196 msmqinst.log
07.03.2008 21:23 7.665 spupdsvc.log
07.03.2008 21:18 1.355 imsins.BAK
07.03.2008 21:18 41.576 KB944533-IE7.log
07.03.2008 21:17 65.538 updspapi.log
07.03.2008 21:13 25.204 KB938127-IE7.log
07.03.2008 21:12 34.138 KB937143-IE7.log
07.03.2008 21:12 293.128 msxml4-KB936181-deu.LOG
07.03.2008 21:08 17.774 KB928090-IE7.log
07.03.2008 21:03 16.355 ie7_main.log
07.03.2008 21:03 96.799 ie7.log
07.03.2008 21:02 40.866 IDNMitigationAPIs.log
07.03.2008 21:02 40.521 NLSDownlevelMapping.log
07.03.2008 21:02 42.025 KB915865.log
07.03.2008 21:01 40.606 XpsEPSC.log
07.03.2008 20:38 829 OEWABLog.txt
07.03.2008 20:37 4.999 KB867282.log
07.03.2008 20:37 619 KB867282-IE6SP1-20050127.163319.log
07.03.2008 20:37 682 KB867282-IE501SP4-20050107.164742.log
07.03.2008 20:37 4.787 KB885250.log
07.03.2008 20:36 4.882 KB834707.log
07.03.2008 20:36 939 vminst.log
07.03.2008 20:36 4.649 WGA.log
07.03.2008 20:36 13.613 wmp11.log
07.03.2008 20:35 19.721 WMFDist11.log
07.03.2008 20:35 8.076 Wudf01000Inst.log
07.03.2008 20:34 834.098 setuplog.txt
07.03.2008 20:34 52 oobeact.log
07.03.2008 20:34 8.192 REGLOCS.OLD
07.03.2008 20:32 685 setuperr.log
07.03.2008 20:31 12.319 KB893803v2.log
07.03.2008 20:30 12.431 KB887742.log
07.03.2008 20:30 13.087 KB893086.log
07.03.2008 20:30 13.000 KB893066.log
07.03.2008 20:30 14.306 KB890923.log
07.03.2008 20:30 12.520 KB885523.log
07.03.2008 20:30 12.756 KB885835.log
07.03.2008 20:30 12.220 KB886185.log
07.03.2008 20:30 12.717 KB887797.log
07.03.2008 20:30 12.224 KB890175.log
07.03.2008 20:29 12.692 KB873333.log
07.03.2008 20:29 12.389 KB888113.log
07.03.2008 20:29 14.761 KB898461.log
07.03.2008 20:29 14.691 KB883939.log
07.03.2008 20:29 13.023 KB896422.log
07.03.2008 20:29 11.122 KB903235.log
07.03.2008 20:28 13.471 KB894391.log
07.03.2008 20:28 15.802 KB896688.log
07.03.2008 20:28 16.258 KB902400.log
07.03.2008 20:28 13.186 KB904706.log
07.03.2008 20:27 15.749 KB905915.log
07.03.2008 20:27 12.483 KB911565.log
07.03.2008 20:27 13.066 KB913446.log
07.03.2008 20:27 13.481 KB911567.log
07.03.2008 20:27 16.124 KB912812.log
07.03.2008 20:26 0 control.ini
07.03.2008 20:26 477 win.ini
07.03.2008 20:26 316.640 WMSysPr9.prx
07.03.2008 20:26 4.161 ODBCINST.INI
07.03.2008 20:25 749 WindowsShell.Manifest
07.03.2008 20:24 1.023 sessmgr.setup.log
07.03.2008 20:23 37 vbaddin.ini
07.03.2008 20:23 36 vb.ini
07.03.2008 20:23 133 DtcInstall.log
07.03.2008 20:22 200 cmsetacl.log
07.03.2008 20:21 0 Sti_Trace.log
07.03.2008 20:18 2.618 regopt.log
07.03.2008 20:18 231 system.ini
04.09.2007 20:26 29.696 nvoclock.sys
- - - - - - - - - - - - - - - - - - - - - - -
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC4C-CE73

Verzeichnis von C:\WINDOWS\tasks

13.05.2008 08:01 6 SA.DAT
09.05.2008 18:08 408 1-Klick-Wartung.job
01.06.2006 21:06 65 desktop.ini
3 Datei(en) 479 Bytes
0 Verzeichnis(se), 24.795.041.792 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC4C-CE73

Verzeichnis von C:\WINDOWS\temp

13.05.2008 08:02 16.384 Perflib_Perfdata_528.dat
12.05.2008 23:50 16.384 Perflib_Perfdata_5d0.dat
12.05.2008 23:22 16.384 Perflib_Perfdata_598.dat
12.05.2008 21:37 16.384 Perflib_Perfdata_590.dat
01.05.2008 14:04 16.384 Perflib_Perfdata_2c0.dat
01.05.2008 09:03 16.384 Perflib_Perfdata_2e4.dat
29.04.2008 09:42 16.384 Perflib_Perfdata_248.dat
26.04.2008 00:09 16.384 Perflib_Perfdata_91c.dat
23.04.2008 06:09 16.384 Perflib_Perfdata_1d8.dat
18.04.2008 22:51 16.384 Perflib_Perfdata_938.dat
06.04.2008 15:09 16.384 Perflib_Perfdata_ce0.dat
28.03.2008 06:18 16.384 Perflib_Perfdata_69c.dat
18.03.2008 07:37 16.384 Perflib_Perfdata_730.dat
15.03.2008 17:51 16.384 Perflib_Perfdata_758.dat
14.03.2008 07:39 16.384 Perflib_Perfdata_754.dat
08.03.2008 02:00 5.313 PQ_DEBUG.TXT
16 Datei(en) 251.073 Bytes
0 Verzeichnis(se), 24.795.041.792 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC4C-CE73

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

13.05.2008 18:41 129.523 filelist.txt
13.05.2008 17:43 16.384 ~DFF68B.tmp
13.05.2008 07:35 16.384 ~DF9CBD.tmp
13.05.2008 01:10 33.322 Uninstall Log 2008-05-13 #001.txt
13.05.2008 01:05 29.776 jusched.log
12.05.2008 23:35 16.384 ~DF2AEA.tmp
12.05.2008 23:23 0 .tt2.tmp
12.05.2008 23:12 80.343 Setup Log 2008-05-12 #001.txt
12.05.2008 23:09 16.384 ~DF265E.tmp
12.05.2008 21:36 0 .tt1.tmp
12.05.2008 21:32 2 MalFB.tmp
12.05.2008 21:32 0 .ttFC.tmp
12.05.2008 21:32 44.032 setup_526_1_.exe
12.05.2008 07:51 2.912 java_install_reg.log
11.05.2008 13:19 23.930 lock.gif
11.05.2008 13:19 964 _order.htm
11.05.2008 01:27 16.384 ~DFC22F.tmp
10.05.2008 22:25 72.192 ~e5.0001
07.05.2008 20:35 0 EPSLog.txt
07.03.2008 21:42 25.746 German.bin
20 Datei(en) 524.662 Bytes
0 Verzeichnis(se), 24.795.041.792 Bytes frei

nochdigger · 13.05.2008, 19:19

Hallo

lass bitte auch diese Dateien

Zitat:

C:\WINDOWS\system32\abKlnnnn.ini
C:\WINDOWS\system32\abKlnnnn.ini2
C:\WINDOWS\system32\tnegxbfx.ini
C:\WINDOWS\system32\nnnnlKba.dll_old
C:\WINDOWS\system32\bIPsrBeg.ini
C:\WINDOWS\system32\bIPsrBeg.ini2
C:\WINDOWS\system32\tlfhmwqe.ini
C:\WINDOWS\system32\blackster.scr
C:\WINDOWS\system32\ctfmonb.bmp
C:\WINDOWS\system32\fccYqpop.dll
C:\WINDOWS\system32\yaywvSLC.dll
C:\WINDOWS\system32\ezsidmv.dat
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\amcompat.tlb

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

So wollen wir mal hoffen, dass die nächsten Schritte nicht für die Katz sind...

Lade dir bitte Combofix
Combofix
lies und befolge die Anleitung bitte genau.
Poste im Anschluß das Log.

Dann lade dir bitte Malwarebytes
http://www.trojaner-board.de/51187-a...i-malware.html
und lass es mach Anleitung laufen, poste auch hier im Anschluss das Log.

MFG

hackmaier · 14.05.2008, 09:22

Moin
so jetzt gehts los.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.14.1 2008.05.14 -
AntiVir 7.8.0.17 2008.05.14 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.13 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.13 -
eTrust-Vet 31.4.5786 2008.05.14 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.14 -
Fortinet 3.14.0.0 2008.05.14 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.14 -
Kaspersky 7.0.0.125 2008.05.14 -
McAfee 5294 2008.05.13 -
Microsoft None 2008.05.14 -
NOD32v2 3097 2008.05.14 -
Norman 5.80.02 2008.05.13 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.14 -
Rising 20.44.20.00 2008.05.14 -
Sophos 4.29.0 2008.05.14 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.14 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.13 -
Webwasher-Gateway 6.6.2 2008.05.14 -
weitere Informationen
File size: 187308 bytes
MD5...: c57a59622e4594c33aec3fdf02294923
SHA1..: 0ffa84b7b69ecd92f866fb92ba310887f6f7b9e4
SHA256: 1873af8e89718bd9dbf4f060e19ff652b284b7bd5b35cf97b384db7d0291189b
SHA512: 7bf08ae96d392e24d495b8f9340eae38a951bba0f07cfe34c4fb68ae16cd37ab
dcf0d10e1fd3a8e0f65e23061ec6b0158556e75a14bac58304d3c11c455987a7
PEiD..: -
PEInfo: -

END

MD5: c57a59622e4594c33aec3fdf02294923
First received: -
Datum 2008.05.14 09:48:53 (CET) [<1D]
Ergebnisse 0/32
Permalink: analisis/1b8b7da77b2fa030eacd29df5b377713

END
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.14.1 2008.05.14 -
AntiVir 7.8.0.17 2008.05.14 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.13 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.14 -
eSafe 7.0.15.0 2008.05.13 -
eTrust-Vet 31.4.5786 2008.05.14 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.14 Vundo.gen38
Fortinet 3.14.0.0 2008.05.14 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.14 -
Kaspersky 7.0.0.125 2008.05.14 -
McAfee 5294 2008.05.13 -
Microsoft None 2008.05.14 -
NOD32v2 3097 2008.05.14 -
Norman 5.80.02 2008.05.13 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.14 -
Rising 20.44.20.00 2008.05.14 -
Sophos 4.29.0 2008.05.14 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.14 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.14 -
VirusBuster 4.3.26:9 2008.05.13 -
Webwasher-Gateway 6.6.2 2008.05.14 -
weitere Informationen
File size: 1490286 bytes
MD5...: bc23a62a2c3352e787f6a500c506c26e
SHA1..: 81b76ef7deb32a3bfc9dc509923d628a0bb2d6a8
SHA256: 81ff86d28fa922184a751b52f0da4ad656d5479fec433c40a01140e9c35132ac
SHA512: dc137b92a906fc48802748d2faf7709b9b2365bb3cea7b00a6911b8e06869bc5
99ac23d45d4f5533f8d42a661c12bd7d20f7a744e3647a1ed3206620464732f0
PEiD..: -
PEInfo: -

END
Die nächste nicht gefunden
END
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.14.1 2008.05.14 -
AntiVir 7.8.0.17 2008.05.14 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.13 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.14 -
eSafe 7.0.15.0 2008.05.13 -
eTrust-Vet 31.4.5786 2008.05.14 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.14 -
Fortinet 3.14.0.0 2008.05.14 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.14 -
Kaspersky 7.0.0.125 2008.05.14 -
McAfee 5294 2008.05.13 -
Microsoft None 2008.05.14 -
NOD32v2 3097 2008.05.14 -
Norman 5.80.02 2008.05.13 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.14 -
Rising 20.44.20.00 2008.05.14 -
Sophos 4.29.0 2008.05.14 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.14 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.14 -
VirusBuster 4.3.26:9 2008.05.13 -
Webwasher-Gateway 6.6.2 2008.05.14 -
weitere Informationen
File size: 12217 bytes
MD5...: 0cc8541997f6f9e6734e12682e5d312e
SHA1..: 5ee9452dae34eab2aead5766da463cc26e793a47
SHA256: f117803c20d0914d44af9ec4965601f3bb4ce6f5f8cbd003e3094a9b771abb6f
SHA512: 46c6e13687c04f55d645864dfa664551bdf1ca94389a9a24d8619e19f4c6d0e7
89bd9bbe72ab6cdffb96f42b98fc6bea02261f4771a1c87f50a5b839c6107efe
PEiD..: -
PEInfo: -

END

Die Datei wurde bereits analysiert:
MD5: 0cc8541997f6f9e6734e12682e5d312e
First received: -
Datum 2008.05.14 09:58:42 (CET) [<1D]
Ergebnisse 0/32
Permalink: analisis/25deb23a07085553677506c116310bce

END

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.14.1 2008.05.14 -
AntiVir 7.8.0.17 2008.05.14 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.13 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.14 -
eSafe 7.0.15.0 2008.05.13 -
eTrust-Vet 31.4.5786 2008.05.14 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.14 Vundo.gen38
Fortinet 3.14.0.0 2008.05.14 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.14 -
Kaspersky 7.0.0.125 2008.05.14 -
McAfee 5294 2008.05.13 -
Microsoft None 2008.05.14 -
NOD32v2 3097 2008.05.14 -
Norman 5.80.02 2008.05.13 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.14 -
Rising 20.44.20.00 2008.05.14 -
Sophos 4.29.0 2008.05.14 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.14 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.14 -
VirusBuster 4.3.26:9 2008.05.13 -
Webwasher-Gateway 6.6.2 2008.05.14 -
weitere Informationen
File size: 1490466 bytes
MD5...: e46a5f5e056a5be91591ae72754b9ee0
SHA1..: 0a4f25d584a88ee851019c22bdd7ed9d03a3e101
SHA256: ff4ea529848784d4c0a6bbae5352e89703d98845aa1cbc8a3165d7025e0d9405
SHA512: 5b2c6c248190fccbc09fca938cddc16702ebb83454326f837da9801841bceb81
657ecd54cf65efc7ed6ca5e11cc7d3bf16286413a5d9dfa227acac9f3611ec1d
PEiD..: -
PEInfo: -

END

Die Datei wurde bereits analysiert:
MD5: 2ae3fb159c9778689f54f58dbf6a7de3
First received: 2008.04.01 15:43:25 (CET)
Datum 2008.05.13 20:43:47 (CET) [<1D]
Ergebnisse 2/32
Permalink: analisis/f355620d477ef9dfe5d6d01fdf246700

END

Die Datei wurde bereits analysiert:
MD5: 048d36722cdedb58886c9ea795b05684
First received: 2008.01.15 09:28:49 (CET)
Datum 2008.05.14 03:20:14 (CET) [<1D]
Ergebnisse 3/32
Permalink: analisis/a5443b0932cb47ccafdab76c5eba24c5

END

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.14.1 2008.05.14 -
AntiVir 7.8.0.17 2008.05.14 TR/Agent.29312
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.13 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.14 -
eSafe 7.0.15.0 2008.05.13 -
eTrust-Vet 31.4.5786 2008.05.14 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.14 -
Fortinet 3.14.0.0 2008.05.14 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.14 -
Kaspersky 7.0.0.125 2008.05.14 -
McAfee 5294 2008.05.13 -
Microsoft None 2008.05.14 -
NOD32v2 3097 2008.05.14 -
Norman 5.80.02 2008.05.13 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.14 Cloaked Malware
Rising 20.44.20.00 2008.05.14 -
Sophos 4.29.0 2008.05.14 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.14 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.14 -
VirusBuster 4.3.26:9 2008.05.13 -
Webwasher-Gateway 6.6.2 2008.05.14 Trojan.Agent.29312
weitere Informationen
File size: 29312 bytes
MD5...: 9c7f6951047405aab0e4fc51233d5593
SHA1..: 01101d157213aace1dd7a421e563bb0a3365d2e9
SHA256: 14e1934e0f7924ef94ec38dbab824e9416fcd9065281c0994413313cca0fa40e
SHA512: ef15e837e5ff3f2c69e2889101f697f719641bdc6fa5929674a27976dbeb98b5
ede19befa850d2dbd4578b8721431f1e418c5edfaf6a8f83c2245b21bdfe04ff
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100012c0
timedatestamp.....: 0x4821945b (Wed May 07 11:36:59 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x2000 0x2000 4.69 9de1f3813af5f65847a2c23171c23be9
CODE 0x3000 0x1000 0x800 4.29 4f4768d4f19631899a1869905cf9d3b2
CRT 0x4000 0x1000 0x600 7.87 8080a028b7c048a5b9c83c9fed0a030c
.rsrc 0x5000 0xb000 0x4080 7.94 dd7699145a988ff0e995a0f7901041fc

( 4 imports )
> kernel32.dll: GetCurrentThreadId, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, LoadLibraryA, LocalAlloc, lstrcpyn, lstrlen, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte
> user32.dll: GetWindowDC, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA
> gdi32.dll: CombineRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA
> shell32.dll: ShellExecuteA, SHGetPathFromIDList

( 0 exports )

Prevx info: CBXOLJGE.DLL - Prevx

END

Die Datei wurde bereits analysiert:
MD5: 9c7f6951047405aab0e4fc51233d5593
First received: 2008.05.14 10:10:40 (CET)
Datum 2008.05.14 10:10:41 (CET) [<1D]
Ergebnisse 3/32
Permalink: analisis/037fc24d52c342db2c92a72e3df2add8

END

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.14.1 2008.05.14 -
AntiVir 7.8.0.17 2008.05.14 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.13 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.14 -
eSafe 7.0.15.0 2008.05.13 -
eTrust-Vet 31.4.5786 2008.05.14 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.14 -
Fortinet 3.14.0.0 2008.05.14 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.14 -
Kaspersky 7.0.0.125 2008.05.14 -
McAfee 5294 2008.05.13 -
Microsoft None 2008.05.14 -
NOD32v2 3097 2008.05.14 -
Norman 5.80.02 2008.05.13 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.14 -
Rising 20.44.20.00 2008.05.14 -
Sophos 4.29.0 2008.05.14 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.14 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.14 -
VirusBuster 4.3.26:9 2008.05.13 -
Webwasher-Gateway 6.6.2 2008.05.14 -
weitere Informationen
File size: 56 bytes
MD5...: 8092f54feb8b8a0c0a50f353ad545149
SHA1..: 59f19c5a9fd21a5406cf13fd0c5f74cf0e193fe3
SHA256: 196c41e9c5a621c56d949cd0d83bf162afa79b91d648028b7a6e8fcb074fd760
SHA512: 5d60dcfbafa8fc6c2aa01dd9df445288f5db939b4fa66d426ca3bb060533da4a
4324b47befa918d7447ba20b651480da74afcfb304d239eb263e6f4383f85ce2
PEiD..: -
PEInfo: -

END

Die Datei wurde bereits analysiert:
MD5: a32b14be5edae794fce1a9e970827509
First received: 2008.03.17 07:18:37 (CET)
Datum 2008.05.13 19:38:57 (CET) [<1D]
Ergebnisse 1/32
Permalink: analisis/c9291c4c981a357a3431da75a4c5d4b2

END

Die Datei wurde bereits analysiert:
MD5: 6d6f4b1886e91eb37abccad19c561ee0
First received: 2007.03.16 17:55:40 (CET)
Datum 2008.05.13 19:40:15 (CET) [<1D]
Ergebnisse 1/32
Permalink: analisis/5a5e943e09669dfe9e35ac0382c22688

END

So das waren die die scanns von VirusTotal.
Die anderen scanns mit den anderen 2 Programmen werde ich etwas Später durchführen.

Vielen Dank

hackmaier · 14.05.2008, 17:55

Hier schon mal der Combo Log,der andere folgt:

ComboFix 08-05-12.1 - Administrator 2008-05-14 18:49:38.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\rs.txt
C:\WINDOWS\system32\abKlnnnn.ini
C:\WINDOWS\system32\abKlnnnn.ini2
C:\WINDOWS\system32\bIPsrBeg.ini
C:\WINDOWS\system32\bIPsrBeg.ini2
C:\WINDOWS\system32\jihdusgk.ini
C:\WINDOWS\system32\rYJTwyxx.ini
C:\WINDOWS\system32\rYJTwyxx.ini2
C:\WINDOWS\system32\tlfhmwqe.ini
C:\WINDOWS\system32\tnegxbfx.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-14 bis 2008-05-14 ))))))))))))))))))))))))))))))
.

2008-05-14 06:30 . 2008-05-14 06:30 90,304 --a------ C:\WINDOWS\system32\kgsudhij.dll
2008-05-14 06:29 . 2008-05-14 06:29 318,080 --a------ C:\WINDOWS\system32\xxywTJYr.dll
2008-05-13 01:38 . 2008-05-13 01:38 <DIR> d-------- C:\Programme\Avira
2008-05-13 00:11 . 2008-05-13 09:04 308 --a------ C:\WINDOWS\wininit.ini
2008-05-12 23:55 . 2008-05-12 23:55 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-12 23:55 . 2008-05-13 00:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-12 23:16 . 2008-05-12 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TmpRecentIcons
2008-05-12 23:11 . 2008-05-13 01:10 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-12 22:59 . 2008-05-12 22:59 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-12 22:34 . 2008-05-12 22:34 <DIR> d-------- C:\Programme\Trend Micro
2008-05-12 21:48 . 2008-05-13 01:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-12 21:33 . 2008-05-12 21:33 29,312 --a------ C:\WINDOWS\system32\yaywvSLC.dll
2008-05-12 21:33 . 2008-05-12 21:33 29,312 --a------ C:\WINDOWS\system32\fccYqpop.dll
2008-05-12 21:33 . 2008-05-12 21:33 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-05-12 21:32 . 2008-05-12 23:23 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-05-12 21:32 . 2008-05-12 19:24 217,088 --a------ C:\WINDOWS\fvowketqplo.dll
2008-05-12 21:32 . 2008-05-12 23:23 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-05-12 21:32 . 2008-05-12 19:24 81,920 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-07 22:16 . 2008-05-07 22:16 <DIR> d-------- C:\Programme\Ubisoft
2008-05-07 13:16 . 2008-05-10 22:09 <DIR> d-------- C:\Pnkbuster
2008-05-06 20:14 . 2005-02-11 10:19 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
2008-05-06 20:14 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
2008-05-06 20:14 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
2008-05-04 21:48 . 2008-05-04 21:48 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-05-01 18:02 . 2008-05-01 18:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-01 18:02 . 2008-05-01 18:02 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-04-24 22:46 . 2008-04-24 22:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-04-24 22:45 . 2008-04-24 22:48 <DIR> d-------- C:\Programme\Microsoft Digital Image 2006
2008-04-21 00:53 . 2008-04-21 00:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ArcSoft
2008-04-21 00:52 . 2008-04-21 00:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-04-21 00:52 . 2008-04-21 00:52 <DIR> d-------- C:\Programme\ArcSoft
2008-04-21 00:52 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2008-04-21 00:52 . 2005-02-23 14:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 16:53 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-05-14 16:48 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-05-12 19:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2008-05-11 07:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZoomBrowser EX
2008-05-11 07:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CameraWindowDC
2008-05-10 20:27 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-07 20:29 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-01 16:02 --------- d-----w C:\Programme\Skype
2008-04-28 15:30 --------- d-----w C:\Programme\Canon
2008-04-28 12:29 --------- d-----w C:\Programme\Pinnacle
2008-04-13 23:19 --------- d-----w C:\Programme\DivX
2008-04-07 10:53 --------- d-----w C:\Programme\Electronic Arts
2008-04-07 10:50 --------- d-----w C:\Programme\DAEMON Tools
2008-04-07 10:48 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-03-30 18:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-03-26 07:31 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-03-23 19:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX
2008-03-21 12:21 --------- d-----w C:\Programme\Winamp
2008-03-20 17:25 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-03-16 09:02 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CANON INC
2008-03-16 08:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2008-03-16 08:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Canon
2008-03-16 07:44 --------- d-----w C:\Programme\eBay
2008-03-07 20:25 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied
2006-06-01 21:06 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB884883$\explorer.exe
2005-04-07 20:46 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{010D48BE-FAF5-4B15-BFFD-2894CEB5DCBE}]
C:\WINDOWS\system32\geBrsPIb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3E2C80A5-AD44-47AF-9F5C-5E1078636D87}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97F7302A-147C-4435-901C-184375993BE6}]
2008-05-12 21:33 29312 --a------ C:\WINDOWS\system32\yaywvSLC.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA99F228-D9E2-47D5-9A8D-A295E8E52E93}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D339730D-9EEA-4F2E-B04A-67E0DF888115}]
C:\WINDOWS\system32\nnnnlKba.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8E625A3-2D3F-44C5-90C0-5D3F795AB40C}]
2008-05-14 06:29 318080 --a------ C:\WINDOWS\system32\xxywTJYr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5AC18EE0-E9B2-428D-844F-6D3EEA227215}"= "C:\WINDOWS\pvnsmfor.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{5ac18ee0-e9b2-428d-844f-6d3eea227215}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{E959253D-2F5C-480C-B7D2-6BD8996A05B1}]
[HKEY_CLASSES_ROOT\pvnsmfor]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-06-01 21:06 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-04-23 17:45 22058792]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-10-24 20:20 1626112 C:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40 155648]
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 02:26 406016]
"SideWinderTrayV4"="C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe" [1999-11-18 19:12 24650]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 05:44 16262656 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 21:06 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{97F7302A-147C-4435-901C-184375993BE6}"= C:\WINDOWS\system32\yaywvSLC.dll [2008-05-12 21:33 29312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"mpfanvqg"= {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll [ ]
"vbksrofa"= {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll [ ]
"sQAeyZFH"= {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\system32\eio.dll [2007-04-16 18:09 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yaywvSLC]
yaywvSLC.dll 2008-05-12 21:33 29312 C:\WINDOWS\system32\yaywvSLC.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vdrcodec.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"InetChk"=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe work
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"cc4ccedc"=rundll32.exe "C:\WINDOWS\system32\eqwmhflt.dll",b
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 16:08:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-14 18:52:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\yaywvSLC.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-14 18:54:55 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-14 16:54:51

10 Verzeichnis(se), 24,723,611,648 Bytes frei
13 Verzeichnis(se), 24,672,841,728 Bytes frei

193

hackmaier · 14.05.2008, 18:25

Hallo,
hier der Log von AntiMalware .Nach dem Scan hat das prog. über 40 Bedrohungen gelöscht ein paar nach dem Neustart.Beim Neustart hat sich dann sofort Antivir gemeldet :
In der Datei 'C:\WINDOWS\system32\yaywvSLC.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
__________________________________________________________________

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 748

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 90806
Scan Dauer: 14 minute(s), 51 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 18
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
c:\WINDOWS\system32\yaywvSLC.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\nnbksweq.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\qoMccYSM.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yaywvslc (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9487322b-57bd-40b7-bb0d-883e1751d9f2} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9487322b-57bd-40b7-bb0d-883e1751d9f2} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{700e2f50-dc4d-41de-84eb-193eabb2900d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e959253d-2f5c-480c-b7d2-6bd8996a05b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f8e625a3-2d3f-44c5-90c0-5d3f795ab40c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f8e625a3-2d3f-44c5-90c0-5d3f795ab40c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pvnsmfor.bskf (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cc4ccedc (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\mpfanvqg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vbksrofa (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomccysm -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomccysm -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\yaywvSLC.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\nnbksweq.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\qewskbnn.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qoMccYSM.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\MSYccMoq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MSYccMoq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP214\A0046277.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP216\A0047278.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP216\A0050289.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fccYqpop.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxywTJYr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\fvowketqplo.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Vielen Dank nochmal für die Mühe.
Hat das alles denn noch einen Sinn?

nochdigger · 14.05.2008, 19:11

Hallo

Zitat:

Hat das alles denn noch einen Sinn?

das werden wir erfahren, wenn die Analyse von Avira kommt.
Wenn die hochgeladenen Datei sauber sein sollte, hat das Ganze einen Sinn denke ich.

Deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Anschließend lass erneut Combofix laufen und poste das Log.

MFG

hackmaier · 14.05.2008, 20:15

Hier nochmal ein Antivir von gerade.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 14. Mai 2008 19:30

Es wird nach 1266589 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05.05.2008 23:39:31
ANTIVIR3.VDF : 7.0.4.39 197120 Bytes 14.05.2008 17:29:58
Engineversion : 8.1.0.42
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.31 262522 Bytes 12.05.2008 23:39:36
AESCN.DLL : 8.1.0.16 119156 Bytes 12.05.2008 23:39:36
AERDL.DLL : 8.1.0.20 418165 Bytes 12.05.2008 23:39:35
AEPACK.DLL : 8.1.1.4 364918 Bytes 12.05.2008 23:39:35
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 12.05.2008 23:39:34
AEHEUR.DLL : 8.1.0.26 1237366 Bytes 12.05.2008 23:39:34
AEHELP.DLL : 8.1.0.14 115063 Bytes 12.05.2008 23:39:33
AEGEN.DLL : 8.1.0.20 299380 Bytes 12.05.2008 23:39:33
AEEMU.DLL : 8.1.0.6 430451 Bytes 12.05.2008 23:39:32
AECORE.DLL : 8.1.0.28 168310 Bytes 12.05.2008 23:39:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 14. Mai 2008 19:30

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SWTrayV4.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '23' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP216\A0046283.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.moq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2695.qua' verschoben!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050711.scr
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2819.qua' verschoben!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050712.dll
[FUND] Ist das Trojanische Pferd TR/Agent.29312
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b281d.qua' verschoben!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050713.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2822.qua' verschoben!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050714.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2823.qua' verschoben!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050715.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4925a894.qua' verschoben!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050720.dll
[FUND] Ist das Trojanische Pferd TR/Agent.29312
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2825.qua' verschoben!
C:\WINDOWS\system32\nnbksweq.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488d292f.qua' verschoben!
C:\WINDOWS\system32\qoMccYSM.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48782936.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'

Ende des Suchlaufs: Mittwoch, 14. Mai 2008 20:01
Benötigte Zeit: 31:26 min

Der Suchlauf wurde vollständig durchgeführt.

5459 Verzeichnisse wurden überprüft
193634 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
193625 Dateien ohne Befall
1190 Archive wurden durchsucht
2 Warnungen
9 Hinweise

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?

Log-Analyse und Auswertung: wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?