Übliche iexplorer.exe Problem- Bitte helfen!

Scotty · 15.05.2008, 13:11

Hallo zusammen,

ich habe seit langer Zeit wie manche es kennen den iexplorer.exe in meinem Task-Manager laufen, es öffnen sich immer Popup's vom Internet Exploler, obwohl ich Firefox Mozilla benutze. Ich habe bei jedem Browser Popup's deaktiviert, damit diese nicht mehr erscheint, doch das problem ist weiterhin noch da. - Als ich jedoch dann in google entdeckte, dass es zwei Prozesse von iexplorer.exe gibt, eins mit L und eins ohne, wusste ich das es sich um einen Virus handeln muss.

PS: Meine 'Pfeil nach unten' Taste funktioniert ebenfalls nicht, wenn ich oben in die Adresse leiste z.B www.trojaner-boa.. oder www.googl.. eingebe, um es nicht von neu einzutippen, funktioniert diese nicht sodass ich es über die Maus machen soll, ich weiss leider nicht ob etwas zutun hat.

Hier ein Scan vom HijackThis: (allerdings ist da irgendwie, soweit ich sehe, nichts vom iexplorer.exe)

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:08:02, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\LClock\LClock.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Germanys Finest\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LiteMags] C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

Ich würde mich sehr freuen, wenn mir jemand helfen könnte, dieses Problem zu beseitigen.

Im vorraus vielen Dank.

Gruß
Scotty

undoreal · 15.05.2008, 13:49

Hallo Scotty.

Wirf HJT bitte wieder komplett vom Rechner.

Erstelle dann nach folgender Anleitung ein neues log.
Achte während der Erstellung bitte darauf ob im Taskmanager die iexplorer.exe läuft oder nicht und poste diese Information ebenfalls.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

i-Clean:

Erstelle bitte ebenfalls einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht:Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

Scotty · 15.05.2008, 13:59

Hi,

vielen Dank erstmal für die schnelle und ausführliche Antwort.

Ich habe leider ein Problem, wenn ich Deine Wege folge und auf VirusTotal.com klicke um die Datei:

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.ex e

zu löschen, finde ich sie leider nicht.

Ich bin erst ins Arbeitsplatz -> Laufwerk C: -> Dokumente und Einstellungen -> German.. (Nick von mir am PC) doch ab da finde ich 'Anwendungen' nicht und kann somit nicht auf 'DARTTI~1\chicspam.ex e' zugreifen.

Ich hoffe Du oder jemand anders findet ein ausweg, besten Dank.

Gruß Scotty

Scotty · 15.05.2008, 14:05

Hier der Icealn Log, allerdings war der Eintrag 032 und 033 nicht vorhanden, sodass ich sie nicht löschen/kürzen musste.

Zitat:

iclean log 15.05.2008 15:02:16

Windows XP SP2, Kernel functions unavailable

Processes
---------
564 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
636 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
660 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
704 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
716 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
880 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1232 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1428 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1564 - C:\Programme\Bonjour\mDNSResponder.exe - Bonjour Service
1700 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
240 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1024 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1356 - C:\WINDOWS\system32\VTTimer.exe - C:\WINDOWS\system32\VTTimer.exe
1364 - C:\Programme\LClock\LClock.exe - LClock Application
1372 - C:\WINDOWS\SOUNDMAN.EXE - Realtek Sound Manager
1924 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
304 - C:\PROGRA~1\MOZILL~1\FIREFOX.EXE - Firefox (Signed)
1600 - C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer
764 - C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer
824 - C:\Dokumente und Einstellungen\Germanys Finest\Desktop\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
c:\programme\bonjour\mdnsresponder.exe=Bonjour Service
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: MsnMsgr="c:\programme\windows live\messenger\msnmsgr.exe" /background
000=HKLM\Run: LClock=c:\programme\lclock\lclock.exe
000=HKLM\Run: MSConfig=c:\windows\pchealth\helpctr\binaries\msconfig.exe
000=HKLM\Run: SoundMan=c:\windows\soundman.exe
000=HKLM\Run: VTTimer=c:\windows\system32\vttimer.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 7.0.1.325\German\setup.exe=c:\dokumente und einstellungen\all users\anwendungsdaten\kaspersky lab setup files\kaspersky internet security 7.0.1.325\german\setup.exe
001=Firewall bypass: C:\Programme\Bonjour\mDNSResponder.exe=c:\programme\bonjour\mdnsresponder.exe
001=Firewall bypass: C:\Programme\concept design\onlineTV 4\onlineTV.exe=c:\programme\concept design\onlinetv 4\onlinetv.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\Mozilla Firefox\firefox.exe=c:\programme\mozilla firefox\firefox.exe
001=Firewall bypass: C:\Programme\Namo\WebEditor 2006 Trial\bin\WebEditor.exe=c:\programme\namo\webeditor 2006 trial\bin\webeditor.exe
001=Firewall bypass: C:\Programme\RouterControl\RouterControl.exe=c:\programme\routercontrol\routercontrol.exe
001=Firewall bypass: C:\Programme\SmartFTP Client\SmartFTP.exe=c:\programme\smartftp client\smartftp.exe
001=Firewall bypass: C:\Programme\VideoLAN\VLC\vlc.exe=c:\programme\videolan\vlc\vlc.exe
001=Firewall bypass: C:\Programme\Zattoo\Zattoo2.exe=c:\programme\zattoo\zattoo2.exe
001=Firewall bypass: C:\Programme\Zattoo\zattood.exe=c:\programme\zattoo\zattood.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)

Startup Folders
---------------
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD

undoreal · 15.05.2008, 14:06

Hast du dir alle Dateien und Ordner anzeigen lassen? Garantiert nicht denn die Anwendungsdaten sind auf jeden Fall vorhanden!

[EDIT]

Zitat:

1600 - C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer
764 - C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer

lief während des Scans der MS-Internet Explorer bzw. hattest du ihn bewusst geöffnet oder nicht??

Du musst schon genau lesen was ich dir so poste..

Zitat:

Erstelle dann nach folgender Anleitung ein neues log.
Achte während der Erstellung bitte darauf ob im Taskmanager die iexplorer.exe läuft oder nicht und poste diese Information ebenfalls.

Scotty · 15.05.2008, 14:20

Habe eben es prüfen lassen:

Datei iexplore.exe empfangen 2008.05.15 15:14:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%

Zu Deiner Frage, es hat sich zwar kein Popup mehr geöffnet, habe es auch bewusst nicht geöffnet aber im Task-Manager war er im Prozess.

Zitat:

Erstelle dann nach folgender Anleitung ein neues log.
Achte während der Erstellung bitte darauf ob im Taskmanager die iexplorer.exe läuft oder nicht und poste diese Information ebenfalls.

Hier nochmal ein neuer Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:33, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\LClock\LClock.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - ]h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 3888 bytes

(Ja es lief während dem ganzen die iexplorer.exe)

Scotty · 15.05.2008, 17:36

ah super, habs gefunden, habe alle versteckten Dateien sichtbar gemacht, habe nun diesen Log, nachdem ich VirusTotatl.com checken lassen haben, bitte schaut mal, was ihr da sehen könnt:

Zitat:

Datei chicspam.exe empfangen 2008.05.15 18:34:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.15 -
CAT-QuickHeal 9.50 2008.05.14 -
ClamAV 0.92.1 2008.05.15 -
DrWeb 4.44.0.09170 2008.05.15 Trojan.Swizzor.based
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 Win32.SuspectCrc
Kaspersky 7.0.0.125 2008.05.15 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.15 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.15 Adware.Lop
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -
weitere Informationen
File size: 415744 bytes
MD5...: 6f511a4bf6005df1c46906111de8c678
SHA1..: a3538cb9433bc6d4b82a1b16582c7a11ffb4ed04
SHA256: 4b176e55a190610c6b64aaf6fa197b501fe595b6631aecaed87baa4f170586ba
SHA512: 91a05478d33eca467b8395a9cc7d26da7bb99bd2dad39debd08a874f51b6feed
48ad1e20c27473ae4c27034b46d6c4cae6f3802615ae0ce6d1d3c52225460703
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403b34
timedatestamp.....: 0x47098d94 (Mon Oct 08 01:53:24 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1b8c8 0x1ba00 6.14 47078bcea50cdde43a309824b3518d46
.rdata 0x1d000 0x5384 0x1e00 4.95 4e9a32cd7d5d4978f33cd0546b60e720
.data 0x23000 0x465c9 0x46600 7.90 e8630c948862a28f3a7b6d5f745f5c1c
.rsrc 0x6a000 0x1458 0x1600 3.18 f4ac5240cce147fded7778aa77b00830

( 6 imports )
> comdlg32.dll: PrintDlgA, ChooseColorW, ChooseFontW, ReplaceTextA
> WININET.dll: InternetTimeToSystemTimeA, InternetConnectA, GopherGetAttributeW, InternetSetOptionA
> ADVAPI32.dll: LookupSecurityDescriptorPartsA, InitiateSystemShutdownA, RegQueryMultipleValuesW, RegCreateKeyA, RegSetValueExW, RegSetKeySecurity, LookupPrivilegeDisplayNameA, LookupPrivilegeValueW, CryptHashSessionKey, CryptReleaseContext
> SHELL32.dll: SHInvokePrinterCommandA, RealShellExecuteA
> KERNEL32.dll: MultiByteToWideChar, GetCurrentProcessId, HeapReAlloc, LCMapStringW, GetOEMCP, GetProcAddress, GetACP, WriteFile, InitializeCriticalSection, InterlockedExchange, EnumSystemLocalesA, TlsGetValue, ExitProcess, VirtualAlloc, LCMapStringA, QueryPerformanceCounter, CompareStringW, GetCPInfo, GetVersionExA, GetEnvironmentStringsW, VirtualQuery, SetEnvironmentVariableA, TlsFree, IsBadWritePtr, VirtualProtect, GetTickCount, GetCommandLineA, GetDateFormatA, LoadLibraryA, FreeEnvironmentStringsW, UnhandledExceptionFilter, GetStringTypeW, GetTimeZoneInformation, GetLastError, GetCurrentProcess, HeapAlloc, GetCurrentThread, HeapSize, GetLocaleInfoA, SetLastError, GetModuleHandleA, GetUserDefaultLCID, GetCurrentThreadId, GetFileType, GetSystemTimeAsFileTime, FreeEnvironmentStringsA, HeapCreate, LeaveCriticalSection, TlsSetValue, GetModuleFileNameA, RtlUnwind, UnlockFileEx, HeapFree, GetSystemInfo, SetHandleCount, IsValidCodePage, HeapDestroy, GetStringTypeA, GetStartupInfoA, GetEnvironmentStrings, GetLocaleInfoW, EnterCriticalSection, TlsAlloc, IsValidLocale, TerminateProcess, VirtualFree, GetTimeFormatA, CompareStringA, WideCharToMultiByte, DeleteCriticalSection, GetStdHandle
> USER32.dll: IsZoomed, EnumDesktopsA, GetForegroundWindow

( 0 exports )

undoreal · 15.05.2008, 23:14

O.k.

Fixe mit HJT folgenden Eintrag:

Zitat:

O4 - HKCU\..\Run: [LiteMags] C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.ex e

und lösche gleich danach die btreffende Datei:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Und lasse bitte folgende Dateien ebenfalls auf VT auswerten:

Zitat:

C:\Programme\Zattoo\Zattoo2.exe=c:\programme\zatto o\zattoo2.exe
C:\Programme\Zattoo\zattood.exe=c:\programme\zatto o\zattood.exe

Scotty · 16.05.2008, 09:31

Hi,

danke für Deine Unterstützung, ich habe mir Dr. Web runtergeladen und es damit gelöscht, es funktioniert jetzt alles prima, iexplorer.exe wird nicht mehr angezeigt, im Task-Manager genauso..wenn was erneut sein sollte, werde ich mich melden.

Ich bedanke mich sehr bei Dir für Deine Geduld und Deine Hilfe.
Ist echt ein tolles Forum, werde ich weiterempfehlen.

Bis dahin wünsche ich euch allen alles Gute.

Gruß
Scotty

undoreal · 16.05.2008, 13:02

Uaaaa.. Scotty.

Der Rechner ist unter KEINEN Umständen vertrauenswürdig!!!!

Wenn da was in den iexplorer injeziert hat dann läuft der Server nach wie vor!!!

Führe bitte die Punkte durch die ich dir gepostet haben und versuche während der Bereinigung nichts auf eigene Initiative bzw. frage vorher nach bevor du einfach irgendwas löschst...

Scotty · 16.05.2008, 13:32

Zitat:

Zitat von undoreal

O.k.

Fixe mit HJT folgenden Eintrag:
und lösche gleich danach die btreffende Datei:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Und lasse bitte folgende Dateien ebenfalls auf VT auswerten:

Hi,

okay..also wenn ich

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.ex e

in Dein Tool eingebe, welches ich runterladen sollte kommt eine Fehlermeldung, ich habe ja schon chicspam.exe mit Dr. Web gelöscht, vielleicht liegt es daran.

Und zattoo2.exe findet er ebenfalls nicht..

Kurze Frage noch, meine Tastatur 'Pfeil nach unten' funktioniert nicht, könnte es damit verbunden sein ?

Gruß
Scotty

myrtille · 16.05.2008, 13:51

Hi,
ich spring mal kurz ein, da undo nicht da ist.

Das Skript müsste wie folgt aussehen:

Code:

ATTFilter

Files to delete:
C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe

und es liegt sicher nicht daran, dass die Datei nicht existiert, dass das Programm nicht funktioniert.

lg myrtille

EDIT:
Zattoo solltest du auch nicht löschen, sondern bei virustotal auswerten lassen.
Sagt dir Zattoo wirklich nichts? Hat noch jemand Zugang zu deinem Rechner?

Scotty · 16.05.2008, 14:30

Hi,

also wenn ich das Tool benutze, welches undoreal empfohlen hat und ich

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe

eingebe, kommt diese Fehlermeldung:

PS: Ich weiss nun was Zattoo ist, ich hatte es damals installiert, sollte es also soweit ich weiß, kein Virus beinhalten.

Gruß
Scotty

myrtille · 16.05.2008, 14:34

Hi,

Zitat:

also wenn ich das Tool benutze, welches undoreal empfohlen hat und ich

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.ex e

eingebe, kommt diese Fehlermeldung.

ich weiß.
Daher sagte ich auch, das Skript sollte wie folgt aussehen:

Code:

ATTFilter

Files to delete:
C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe

lg myrtille

Scotty · 16.05.2008, 14:37

Wenn ich Zattoo bei VirusTotal.com prüfe erscheint diese Meldung:

Zitat:

Datei Zattoo1.exe empfangen 2008.05.16 15:31:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.16 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.16 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5296 2008.05.16 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3104 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 Malware Downloader
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 Virus.Win32.FileInfector.gen!80 (suspicious)
weitere Informationen
File size: 13647872 bytes
MD5...: 5b776602fea2b2f12a43bac9db00bff2
SHA1..: 9dfd1d4d3bca93b3efb5fd473de82431e561013e
SHA256: 99c68b4a6a07586a5f5c38d901fc64ad09d78be041ff75245c5d6d93ae93b88c
SHA512: 149685cc4fc9c85bbdf69a3052e908917a0a8405fa61c5ae81d191ca3e89c82c
b8cd88f97f276a1d96e64bf9b1168d5fa6ef542c0d9b781fb0b8a2c56eebd6b6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1070000
timedatestamp.....: 0xf (Thu Jan 01 00:00:15 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.datacxc 0x1000 0xc2cf4d 0xc2d000 8.00 2e1943c4ea87fe3e8b27563957406e90
.text 0xc2e000 0x30743 0x31000 6.55 d062715bb98a0e3910b84015cd6e74f6
.rdata 0xc5f000 0xd78f 0xe000 4.50 f913db798eb375af8cd4720caa4f0649
.data 0xc6d000 0x2cfc 0x2000 4.02 23db24ccf05a3290ab03d19699dd265b
.textxc 0xc70000 0x5 0x1000 0.02 d451e269559a3ef132a47bbe430e52f1
.idata 0xc71000 0xbac 0x1000 4.07 b3d48b0ee26d7d3cd54c33f9e023f10d
.reloc 0xc72000 0x35c4 0x4000 6.13 7ede020bd67bba718bd5bb0aa034bc0d
.rsrc 0xc76000 0x8eeca 0x8f000 2.73 02eea5dbe61e3f9b2cfcf766dfedad62

( 4 imports )
> KERNEL32.dll: InitializeCriticalSection, GetSystemWindowsDirectoryW, lstrcmpiW, FindResourceW, lstrlenW, SizeofResource, LockResource, LoadResource, FindResourceExW, GetModuleHandleW, FormatMessageW, ExitProcess, DeleteCriticalSection, RaiseException, InterlockedIncrement, InterlockedDecrement, GetModuleHandleA, GetProcAddress, VirtualProtect, FlushInstructionCache, GetCurrentProcess, OutputDebugStringW, SetLastError, MultiByteToWideChar, GetStdHandle, SystemTimeToFileTime, GetVersionExW, GetModuleFileNameW, GetTempPathW, GetFileAttributesExW, CreateFileW, WriteFile, CloseHandle, EnterCriticalSection, VirtualAlloc, SetProcessWorkingSetSize, VirtualFree, WideCharToMultiByte, lstrcmpA, LeaveCriticalSection, GetLastError, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentThreadId, GetCommandLineA, RtlUnwind, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCPInfo, GetOEMCP, Sleep, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapCreate, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, VirtualQuery
> USER32.dll: MessageBoxW, UnregisterClassA, wvsprintfW, wvsprintfA, CharLowerBuffW
> ADVAPI32.dll: RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance

( 0 exports )
Prevx info: ZATTOO1.EXE - Prevx
packers (Kaspersky): PE_Patch

Zitat:

Datei Zattoo.exe empfangen 2008.05.15 19:10:31 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.15 Malicious Software
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
weitere Informationen
File size: 1617920 bytes
MD5...: 2ba7d514508cf71aa608b4a847c98676
SHA1..: 5c84a153e96e8186c7fddbd1317a8398f2bd4124
SHA256: ced2a2785d620579fab782a72f55912cb583a82a0c092e894867b732755a2198
SHA512: 600ede9eb0d7a3ca220cf9d9bb13a7345f47995af196ba44d0e5024ebac8b6b5
d2a0dfd4a07200639401d74e7b0adbd6049b8bb286d66368f72eb8670907e17c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4f9a9a
timedatestamp.....: 0x16 (Thu Jan 01 00:00:22 1970)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.textxc 0x2000 0xf7aa0 0xf8000 4.71 c6a62a72cc297862651ee36674627332
.datax 0xfa000 0x18 0x1000 0.04 971c88052a5883f2b9a70178186ddf2a
.idata 0xfc000 0x56 0x1000 0.11 12760a0ddef623b6b2c986f476e59360
.reloc 0xfe000 0xc 0x1000 0.02 2ec45eae0a76c88a126fda35fff2764f
.rsrc 0x100000 0x8e958 0x8f000 2.70 2337362864b43782d9b36ef1e322cd2d

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )
Prevx info: ZATTOO2.EXE - Prevx