Hilfe Virtumonde macht mich noch wuschig!!

ladym1972 · 15.05.2008, 17:28

Hallo zusammen und Hilfeeeeeeeeee!!!

Ich habe vor einigen Tagen mit einem heruntergeladenen Spiel wohl den Rechner meines Freundes lahmgelegt.

Ich habe schon mehrmals mit spybot gescannt und er meldet immer wieder folgende Einträge:

1 Eintrag Doublecklick
1 Eintrag Mediaplex
1 Eintrag Tradedoubler
8 Einträge Virtumonde.dll

Hab mal mit HiJackThis und Combofix drüber gemacht und poste hier mal die Logfiles in der Hoffnung das einer von euch schlauen Köpfen mir helfen kann !!!

Lieben Gruß Britti

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:21, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\AOL\1174285789\ee\AOLSoftware.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.jugle.net/?searchstring=diesims+nocd.exe&type=Any (obfuscated)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1174285789\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [408e815b] rundll32.exe "C:\WINDOWS\system32\jejhmlkp.dll",b
O4 - HKLM\..\Run: [BM43bdb2c7] Rundll32.exe "C:\WINDOWS\system32\sthxanbh.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download with &Shareaza - res://C:\Programme\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .do: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: Fortune Bingo by pogo - http://game4.pogo.com/applet-6.1.2.25/superbingo/superbingo-ob-assets.cab
O16 - DPF: Yahoo! Canasta - http://download.games.yahoo.com/games/clients/y/yt1_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/clients/y/nt1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt4_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://kabeleins.king.com/ctl/kingcomie.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1183919922962
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 10045 bytes

ladym1972 · 15.05.2008, 17:29

ComboFix 08-05-12.1 - Christian 2008-05-15 16:52:53.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.312 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\bobsaver.exe
C:\WINDOWS\bobsaver.scr
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\BbHOVvut.ini
C:\WINDOWS\system32\BbHOVvut.ini2
C:\WINDOWS\system32\blvsbgtj.ini
C:\WINDOWS\system32\DJTsBcfe.ini
C:\WINDOWS\system32\DJTsBcfe.ini2
C:\WINDOWS\system32\fgNTstwa.ini
C:\WINDOWS\system32\fgNTstwa.ini2
C:\WINDOWS\system32\ntrvlgei.ini
C:\WINDOWS\system32\oledb32.dll
C:\WINDOWS\system32\pklmhjej.ini
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\TCKloUtv.ini
C:\WINDOWS\system32\TCKloUtv.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-15 bis 2008-05-15 ))))))))))))))))))))))))))))))
.

2008-05-15 13:41 . 2008-05-15 13:41 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-15 00:48 . 2008-05-15 00:48 133,184 --a------ C:\WINDOWS\system32\tqmexwbn.dll
2008-05-15 00:42 . 2008-05-15 00:42 126,528 --a------ C:\WINDOWS\system32\sthxanbh.dll
2008-05-15 00:42 . 2008-05-15 00:42 114,752 --a------ C:\WINDOWS\system32\ieglvrtn.dll
2008-05-14 00:41 . 2008-05-14 00:41 133,696 --------- C:\WINDOWS\system32\ddjacpau.dll_old
2008-05-14 00:41 . 2008-05-14 00:41 114,240 --a------ C:\WINDOWS\system32\jtgbsvlb.dll
2008-05-14 00:40 . 2008-05-14 00:40 371,200 --a------ C:\WINDOWS\system32\awtsTNgf.dll
2008-05-13 16:30 . 2008-05-13 16:30 <DIR> d-------- C:\VundoFix Backups
2008-05-13 02:28 . 2008-05-13 02:28 132,096 --a------ C:\WINDOWS\system32\bfspflht.dll
2008-05-13 02:22 . 2008-05-13 02:22 125,952 --a------ C:\WINDOWS\system32\fkjtnnrl.dll
2008-05-13 02:22 . 2008-05-15 16:08 109,803 --a------ C:\WINDOWS\BM43bdb2c7.xml
2008-05-12 14:13 . 2008-05-12 14:13 57,344 --a------ C:\WINDOWS\system32\xxyxVmjG.dll
2008-05-11 15:20 . 2008-05-11 15:20 <DIR> d-------- C:\WINDOWS\Hidden Mysteries - Civil War
2008-05-09 13:13 . 2008-05-10 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Restorer
2008-05-04 17:18 . 2008-05-04 18:11 8 --a------ C:\WINDOWS\helpfull1.INI
2008-04-27 12:23 . 2008-04-27 12:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
2008-04-23 20:06 . 2008-04-23 20:06 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-04-23 20:06 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-04-22 22:50 . 2008-04-22 22:50 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-04-22 18:08 . 2008-04-22 18:08 <DIR> d-------- C:\WINDOWS\Finders Keepers

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-12 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-05-11 12:58 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-23 19:49 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-04-23 18:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-04-23 17:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-04-23 14:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-04-22 14:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-04-19 15:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games
2008-04-18 13:57 --------- d-----w C:\Programme\bfgclient
2008-04-17 13:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-15 15:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-13 14:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fugazo
2008-04-06 20:16 --------- d-----w C:\Programme\MSXML 4.0
2008-04-06 12:15 0 ----a-w C:\Programme\temp01
2008-04-06 12:09 --------- d-----w C:\Programme\Teledat USB 2 ab
2008-04-04 14:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Go Go Gourmet
2008-04-04 12:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MonteCristo
2008-04-02 15:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Games
2008-04-02 14:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-04-02 13:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QB9 S.R.L
2008-04-02 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grey Alien Games
2008-04-01 13:33 --------- d-----w C:\Programme\Java
2008-03-29 17:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games
2008-03-29 13:25 --------- d-----w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ludia
2008-03-29 13:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ludia
2008-03-27 13:50 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2004-03-11 12:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{013E812E-7967-4A18-A9DA-60D7D73988ED}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{139E3A6B-7F82-493B-9D45-8DDBBC31CD40}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21D04DC8-4674-46A3-85E0-904952801B01}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}]
2008-05-12 14:13 57344 --a------ C:\WINDOWS\system32\xxyxVmjG.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6394AFA-604D-4A38-B62D-D83D4A88C48E}]
2008-05-14 00:40 371200 --a------ C:\WINDOWS\system32\awtsTNgf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C3AA25CD-1DCA-4656-BCF2-D3527A19871F}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 13:50 1289000]
"SpybotSD TeaTimer"="E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 13:50 155648]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 22:10 344064]
"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2003-10-31 13:20 1048576]
"CHotkey"="mHotkey.exe" [2003-06-27 16:39 506368 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2003-06-27 10:36 5798912 C:\WINDOWS\CNYHKey.exe]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42 70952]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1174285789\ee\AOLSoftware.exe" [2006-11-17 15:16 50736]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [2005-02-28 09:28 364544]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"408e815b"="C:\WINDOWS\system32\jejhmlkp.dll" [ ]
"BM43bdb2c7"="C:\WINDOWS\system32\sthxanbh.dll" [2008-05-15 00:42 126528]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}"= C:\WINDOWS\system32\xxyxVmjG.dll [2008-05-12 14:13 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyxVmjG]
xxyxVmjG.dll 2008-05-12 14:13 57344 C:\WINDOWS\system32\xxyxVmjG.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.CDVC"= cdvccodc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"Pml Driver HPZ12"=3 (0x3)
"IDriverT"=3 (0x3)
"Boonty Games"=3 (0x3)
"AVKService"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"AOLService"=2 (0x2)
"AOL ACS"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Shareaza"="C:\Programme\Shareaza\Shareaza.exe" -tray
"AVKBar"="C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKBar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDTray"="C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"AOL Spyware Protection"="C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
"AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe"= C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe:127.0.0.1/255.255.255.255:Enabled:G DATA AntiVirenKit eMail Virenblocker
"C:\\Programme\\AOL 9.0a\\waol.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Gemeinsame Dateien\\aol\\1174285789\\ee\\aolsoftware.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-03-06 09:44]
R2 AVKService;AVK Service;C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe []
R2 AVKWCtl;G DATA AntiVirenKit Wächter;C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe []
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 02:00]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-06-09 02:00]
R3 fxusbase;Teledat USB 2 a/b (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-06-09 02:00]
R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2005-04-18 15:18]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2007-09-28 14:37]
S2 Ca533av;Mega-Image III Video Camera Device;C:\WINDOWS\system32\Drivers\211video.sys [2003-03-06 13:39]
S3 AVMUNET;AVM FRITZ! Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-03-11 01:00]
S3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-11-27 02:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-23 20:06]
S3 USBCamera;Mega-Image III Still Camera Device;C:\WINDOWS\system32\Drivers\211Bulk.sys [2003-01-27 11:56]
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2006-02-20 19:18]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-05-15 15:02:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- E:\Programme\Tuneup2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-15 17:04:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\xxyxVmjG.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\sthxanbh.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\McAfee.com\Personal Firewall\MpfTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft ActiveSync\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-15 17:11:06 - machine was rebooted [Christian]
ComboFix-quarantined-files.txt 2008-05-15 15:10:34

10 Verzeichnis(se), 507,498,496 Bytes frei
12 Verzeichnis(se), 534,515,712 Bytes frei

224 --- E O F --- 2008-04-16 22:38:08

sengar · 15.05.2008, 22:04

Hi erstma,

hab auch ein problem mit diesem Virtumonde ding.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

ladym1972 · 15.05.2008, 22:12

hi

ja schend heute keiner da zusein vieleicht haben wir ja morgen mehr glück. ich beobachte es heut aber noch bissel weiter vieleicht kommt noch jemand^^

gruss britti

cosinus · 15.05.2008, 23:07

Tja, also bevor man hier noch weiter bereinigt, sollte man mal erst wissen was das hier ist:

C:\WINDOWS\system32\tqmexwbn.dll
C:\WINDOWS\system32\jejhmlkp.dll
C:\WINDOWS\system32\sthxanbh.dll
C:\WINDOWS\system32\ieglvrtn.dll
C:\WINDOWS\system32\ddjacpau.dll_old
C:\WINDOWS\system32\jtgbsvlb.dll
C:\WINDOWS\system32\awtsTNgf.dll
C:\WINDOWS\system32\bfspflht.dll
C:\WINDOWS\system32\fkjtnnrl.dll
C:\WINDOWS\BM43bdb2c7.xml
C:\WINDOWS\system32\xxyxVmjG.dll

Diese Dateien bitte nacheinander bei Virustotal auswerten und Ergebnisse allesamt posten. Auch wenn nichts gefunden wurde und mit allen Ergebnissen meine ich auch alle, also auch die Dateigrößen und Prüfsummenangaben.

Zitat:

Zitat von ladym1972

Ich habe vor einigen Tagen mit einem heruntergeladenen Spiel wohl den Rechner meines Freundes lahmgelegt.

und Dein Freund weiß sicherlich Bescheid darüber? Ich will hier jetzt nicht den Moralapostel spielen, aber grad bei "fremden" Rechnern mal eben hier und da ein Spiel spielen

kann rel. schnell in die Hose gehen - Dein Sicherheitskonzept solltest Du überdenken. Eben nicht jeden Mist ausführen und sicherere aktuelle Browser mit sinnvollen Erweiterungen nutzen. Wenn möglich alles unter eingeschränkten Rechten.

Tu Dir bitte noch einen Gefallen und hantiere nicht ohne Anraten hier vom Board mit irgendwelchen Bereinigungstools rum. Gerade Combofix ist so ein Tool, mit dem sich Laien schnell ins Knie schießen können...

ladym1972 · 16.05.2008, 08:18

guten morgen,

habe alles gemacht nur schenen einige datein nicht mehr auf dem rechner zu sein.

Datei tqmexwbn.dll empfangen 2008.05.16 09:13:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 8/32 (25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 TR/Vundo.Gen
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 Trojan.Vundo
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 Vundo.gen179
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 Malicious Software
Rising 20.44.32.00 2008.05.15 Trojan.Win32.VUNDO.beh
Sophos 4.29.0 2008.05.16 Troj/Virtum-Gen
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 Trojan.Vundo.Gen
weitere Informationen
File size: 133184 bytes
MD5...: 0ab0cb37ed1fba03c5486d69a56293df
SHA1..: 9cb3bd3b2f3317060c66293ee51fd68e04747f87
SHA256: 4a5fe17e8585fb9f37f4e9b9bf3a67b4c05dd14b35ff99f1ce3d576bd15c0699
SHA512: 5b28ffeae6c3c50e9d54fe0e2f6f0052eaca85a6e0f6bb66e981df612923e966
318d75a916ef7ebcc6805bfd936b3672bda8cece8380afb9d5f37a7d30bd02be
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001084
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x86fd 0x8800 7.18 347d0c9595d7352dd0d81f8f846816b5
.rdata 0xa000 0x79ea 0x7a00 7.98 0771c4b4a5f348d322eca5422395497c
.data 0x12000 0x1f71e 0x10200 7.98 360b59be9fe1893f5eac9f5f2d7c1c6e

( 2 imports )
> user32.dll: DrawStateA, DrawIcon, DrawCaption, DestroyWindow, DeleteMenu, CreateMenu, CreateIconFromResource, CreateDialogIndirectParamA, CreateCursor, CloseWindow, CharToOemBuffA, CharLowerA, ChangeMenuA, BeginPaint
> kernel32.dll: ExitProcess, lstrlenA, lstrcmpiA, lstrcatA, VirtualFree, UnmapViewOfFile, TlsSetValue, Sleep, SetEndOfFile, SetCurrentDirectoryA, MapViewOfFile, InitializeCriticalSection, GetVersionExA, GetSystemTimeAsFileTime, GetLocalTime, CompareStringA, EnumResourceLanguagesA, GetLastError

( 0 exports )

Prevx info: 12322914.DLL - Prevx

Datei sthxanbh.dll empfangen 2008.05.16 09:16:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 10/32 (31.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 TR/Vundo.Gen
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 Generic10.YOP
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 Trojan.Vundo
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 Trojan:Win32/Vundo.AF
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 Vundo.gen179
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Troj/Virtum-Gen
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 Trojan.Vundo
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 Trojan.Vundo.Gen
weitere Informationen
File size: 126528 bytes
MD5...: 371f3e953cd4d9fca2c8c1abbe636400
SHA1..: 4062868cbe8f04b1c1c5e5253a50cf9282a4f9e4
SHA256: 2bce3a877a90bc11b9c03b26b535417b9fa90b875d08e7bd27f1ceae28c933a2
SHA512: 58213dd5ec2d4581a1ecb45faae4789955ac0fb475ab91749af254574802522a
f867f1693793d353c646181dc75a5f44680a4a35b5a36fdae384a08130a66ff3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001139
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x88a7 0x8a00 7.23 1187048b50e4725d0827291dad269221
.rdata 0xa000 0x7f4f 0x8000 7.94 3f3363768d8f161b22ea24314556e097
.data 0x12000 0x18e4d 0xe000 7.98 92f92ee4181345b85619b408f8cc9769

( 2 imports )
> user32.dll: DialogBoxParamA, DestroyWindow, DestroyMenu, DestroyCursor, DeleteMenu, DefDlgProcA, CreateMenu, CreateDesktopA, CreateCursor, CreateAcceleratorTableA, CopyRect, CharUpperBuffA, CharUpperA, CharToOemBuffA, CharToOemA, BeginPaint
> kernel32.dll: FlushFileBuffers, lstrlenA, lstrcpynA, lstrcpyA, lstrcmpA, lstrcatA, TlsGetValue, TlsAlloc, SleepEx, SetLastError, SetCurrentDirectoryA, RtlUnwind, RaiseException, OpenFileMappingA, GetVersionExA, GetTimeFormatA, GetSystemTime, EnterCriticalSection, EnumResourceNamesA, EnumResourceTypesA, ExitThread, FreeResource, GetDateFormatA, GetLastError, GetPrivateProfileStringA

( 0 exports )

Prevx info: 58577124.DLL - Prevx

ladym1972 · 16.05.2008, 08:31

Datei awtsTNgf.dll empfangen 2008.05.16 09:24:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 W32/Agent.KVM!tr
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 Trojan.Win32.Vundo.H
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 Vundo.gen179
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Troj/Virtum-Gen
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 Win32.Malware.gen!80 (suspicious)
weitere Informationen
File size: 371200 bytes
MD5...: 27b336928ad1cafd9836ff3cbf24ef76
SHA1..: ce3cf4a13d8556a198f5438b5f5771fcfc1ee404
SHA256: 3b4a810c86472ca6ff3731d1fc7acc58520141b476d7edc1e189ad30c27b276a
SHA512: 9e8fc17e0897001593ccad37689dba5e80b402647db6fe9ee1c686690f876de8
e28de73020e8452788bb6558c2fcd216e528243655b367ab73ef2ffc2f0aa8e3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100010ff
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x89ff 0x8a00 7.22 6d68802afcdd1aedeb196e950f8e8cf1
.rdata 0xa000 0x1bb14 0x1bc00 8.00 0cbb38c9cbac10fd00a13393110d5767
.data 0x26000 0x779f7 0x36000 8.00 d29cd62cff39a32f51ed3b0ecc55326b

( 2 imports )
> user32.dll: DrawTextA, DrawIcon, DrawCaption, DestroyMenu, DestroyCursor, CreatePopupMenu, CreateMenu, CreateIconFromResourceEx, CreateIconFromResource, CreateDialogIndirectParamA, CreateDesktopA, CopyRect, CharToOemBuffA, CharToOemA, CharNextA, BeginPaint
> kernel32.dll: EnterCriticalSection, lstrlenA, lstrcmpA, lstrcatA, UnmapViewOfFile, TlsGetValue, TlsFree, Sleep, SetLastError, SetCurrentDirectoryA, RtlUnwind, LoadResource, GetFileSize, FreeResource, FindResourceA, ExitProcess, EnumResourceTypesA, CompareStringA, EnumResourceLanguagesW

( 0 exports )

Prevx info: 35514345.DLL - Prevx

Datei bfspflht.dll empfangen 2008.05.16 01:14:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 6/32 (18.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.15 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 Trojan.Win32.Vundo.AF
Kaspersky 7.0.0.125 2008.05.15 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 Trojan:Win32/Vundo.AF
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 -
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 Trojan.Metajuan
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 Win32.Malware.gen!80 (suspicious)
weitere Informationen
File size: 132096 bytes
MD5...: bf02a88c71ab8a2a25bc8ab2dbf3d473
SHA1..: c07221794ce13451f1aaf31c7b5853b8b34f8b52
SHA256: 141e85fd084efa08f37c2738cf391307fad88912b42028542655a27d1b05cc0d
SHA512: fa4275a8881574f66752fb675a4e9317a1991035b85f15674ab1e02c61cd92b1
1039e19882b484246ee16b36a3be9a86d992bf8983d8fbaa30b21fe4877b527d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000119e
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x82d1 0x8400 7.24 ff84581f18b5c7bc3a480ee2f7026e94
.rdata 0xa000 0xc73c 0xc800 7.98 8116b842b6e0eb47c975a62658fd87f3
.data 0x17000 0x1a6ae 0xb400 7.98 10bc872fe0fca90e4c8acb1752747818

( 2 imports )
> user32.dll: DrawMenuBar, DrawCaption, DispatchMessageA, DialogBoxParamA, DestroyWindow, DestroyCursor, DestroyCaret, DeleteMenu, CreateDialogIndirectParamA, CreateAcceleratorTableA, CloseWindow, CharUpperBuffA, CharPrevA, CharLowerA, BeginPaint
> kernel32.dll: EnumResourceNamesA, lstrcpyA, lstrcmpiA, lstrcatA, VirtualAlloc, UnmapViewOfFile, TlsSetValue, RtlUnwind, ReadFile, MapViewOfFile, LocalAlloc, LoadResource, GetStartupInfoA, GetFileSize, GetCommandLineA, ExitThread, CompareStringA, EnterCriticalSection, EnumResourceTypesA, ExitProcess

( 0 exports )

Prevx info: LFLNHAUG.DLL - Prevx

ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Datei fkjtnnrl.dll empfangen 2008.05.16 01:17:41 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 10/32 (31.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.15 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 Trojan.BannerModif
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 Trojan.Win32.Vundo.AF
Kaspersky 7.0.0.125 2008.05.15 not-a-virus:AdWare.Win32.Virtumonde.rkn
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 Trojan:Win32/Vundo.AF
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 W32/Virtumonde.VJU
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 Troj/Virtum-Gen
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 Trojan.Vundo
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 Win32.Malware.gen!80 (suspicious)
weitere Informationen
File size: 125952 bytes
MD5...: 1f7cebafb50b2418ede20f34f773614c
SHA1..: 98a64f57044a9845b3764195ab86819f5803d2ad
SHA256: fa2bbb695f472ee310efb49439d7274c9b3ace8e5cce6c60bf38da7282cb1aff
SHA512: 0316ccf1cd774740bcdc1780e865ca1da5db77f708dbed83bbc792e32786b0df
bf69c500d175df820e087e44146f8b356335edd634d2339638a33172045e69ae
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100011c2
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x87be 0x8800 7.27 576ece68a1cfe2ba147c446fa2fe0b61
.rdata 0xa000 0xe697 0xe800 7.97 94953febd4ef218b9f5e5bc5a3df0620
.data 0x19000 0x11397 0x7800 7.95 fad26b12ae9cf2a3bb1dacdc1289b0ba

( 2 imports )
> user32.dll: DispatchMessageA, DialogBoxParamA, DestroyMenu, DestroyIcon, DeleteMenu, DefDlgProcA, CreatePopupMenu, CreateMenu, CreateMDIWindowA, CreateIcon, CreateDialogIndirectParamA, CreateCursor, CreateAcceleratorTableA, CopyImage, CharUpperA, CharToOemA, CharNextA, ChangeMenuA, DrawCaption, BeginPaint
> kernel32.dll: lstrcmpiA, lstrcatA, TlsSetValue, SleepEx, SetCurrentDirectoryA, OpenFile, LoadResource, InitializeCriticalSection, GetVersionExA, GetSystemTimeAsFileTime, GetSystemTime, GetStartupInfoA, GetModuleHandleA, FindResourceA, ExitThread, EnumResourceLanguagesW, CloseHandle, lstrlenA

( 0 exports )

Prevx info: 11213637.SVD - Prevx

ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

ladym1972 · 16.05.2008, 08:33

Datei BM43bdb2c7.xml empfangen 2008.05.16 01:22:15 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.15 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 -
Kaspersky 7.0.0.125 2008.05.15 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -
weitere Informationen
File size: 109812 bytes
MD5...: eac238fc1d31efe049690654573a195d
SHA1..: 50955fe372954092ed939ac6a30ef48ac8603df6
SHA256: d9bb1e9a7886bda3c20e7112892817a331194496a8a8fe194f1841e4274269e6
SHA512: 53d1fdaf270be65cf7a1d90b9671c267c171ee5c116baf850941908f0a6ba51f
4cd33333c033411108f03869051d559bc8d4a65ee0bda376684ef3a11d249ffd
PEiD..: -
PEInfo: -

ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Datei xxyxVmjG.dll empfangen 2008.05.16 01:19:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 8/32 (25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 ADSPY/Virtumonde.rcq
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 Generic10.WPE
BitDefender 7.2 2008.05.15 Trojan.Vundo.ELK
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 Trojan.Vundo.ELK
Kaspersky 7.0.0.125 2008.05.15 not-a-virus:AdWare.Win32.Virtumonde.rcq
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 Trojan:Win32/Vundo.AF
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 Ad-Spyware.Virtumonde.rcq
weitere Informationen
File size: 57344 bytes
MD5...: 9c06e5be759b1015941bd5bf521d19b1
SHA1..: cf3d7df237b0bf1f34fbdb09a560d059bb6edfb8
SHA256: 7db2445b1a9ab77003c1cc08079cd301eab000b8902f53691b18100c88eb280b
SHA512: 24dab1d5412952417604544fa869526b6da8256e498594f984fe01d7430499df
d5461ab46e8996e4fa3b8d4c32f575aeed5682d7e93ec6f47e8598bed4c910a9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000119b
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x83ac 0x8400 7.22 d3b4e2c26718bb0c9b0ac1280087f40e
.rdata 0xa000 0x171c 0x1800 7.56 cfb090fa6dd83ea0d777f1561ef0f571
.data 0xc000 0x4ef8 0x4000 7.85 55d2df8ed75c4a17583853d56d69510c

( 2 imports )
> user32.dll: DrawCaption, DialogBoxParamA, DestroyCaret, CreateMenu, CreateIconFromResource, CreateIcon, CreateDesktopW, CopyRect, CharToOemA, CharPrevA, CharNextA, CharLowerA
> kernel32.dll: GetFileSize, lstrcmpA, lstrcatA, VirtualFree, UnmapViewOfFile, SleepEx, SetLastError, SetCurrentDirectoryA, RtlUnwind, OpenFileMappingA, OpenFile, LocalAlloc, GetTimeFormatA, CompareStringA, EnumResourceLanguagesW, ExitProcess, FindResourceA, GetLastError, GetModuleHandleA, GetStartupInfoA, GetSystemTimeAsFileTime

( 0 exports )

Prevx info: XXYAXUOM.DLL - Prevx

ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

sooo das sind nun alle die noch grfunden wurden

gruss britti

ladym1972 · 16.05.2008, 17:17

nun bin ich aber auch nicht schlauer^^ wie gehts nun weiter

vielen dank schon mal im vorraus

schöne güsse britt

cosinus · 17.05.2008, 12:43

Ein paar Dateien müssen schon mal weg. Gehe dazu mit dem Avenger nach dieser Anleitung vor, aber kopiere diesen Text bei input your script here hinein:

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\tqmexwbn.dll
C:\WINDOWS\system32\jejhmlkp.dll
C:\WINDOWS\system32\sthxanbh.dll
C:\WINDOWS\system32\ieglvrtn.dll
C:\WINDOWS\system32\ddjacpau.dll_old
C:\WINDOWS\system32\jtgbsvlb.dll
C:\WINDOWS\system32\awtsTNgf.dll
C:\WINDOWS\system32\bfspflht.dll
C:\WINDOWS\system32\fkjtnnrl.dll
C:\WINDOWS\BM43bdb2c7.xml
C:\WINDOWS\system32\xxyxVmjG.dll
C:\WINDOWS\system32\jejhmlkp.dll

Rechner neu starten lassen und das avenger Log posten.

Mach danach bitte:

- silentrunners
- Malwarebytes
- ein neues HijackThis logfile

Und ein ausführliches filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

ladym1972 · 17.05.2008, 17:31

nr1

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 17:51:14 2008

17:51:14: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 17:54:04 2008

17:54:04: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 17:55:11 2008

17:55:11: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 18:01:47 2008

18:01:47: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 18:02:28 2008

18:02:28: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 18:03:28 2008

18:03:28: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 18:04:00 2008

18:04:00: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat May 17 18:04:05 2008

18:04:05: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\tqmexwbn.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\jejhmlkp.dll" not found!
Deletion of file "C:\WINDOWS\system32\jejhmlkp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\sthxanbh.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\ieglvrtn.dll" not found!
Deletion of file "C:\WINDOWS\system32\ieglvrtn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\ddjacpau.dll_old" not found!
Deletion of file "C:\WINDOWS\system32\ddjacpau.dll_old" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\jtgbsvlb.dll" not found!
Deletion of file "C:\WINDOWS\system32\jtgbsvlb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\awtsTNgf.dll" deleted successfully.
File "C:\WINDOWS\system32\bfspflht.dll" deleted successfully.
File "C:\WINDOWS\system32\fkjtnnrl.dll" deleted successfully.
File "C:\WINDOWS\BM43bdb2c7.xml" deleted successfully.
File "C:\WINDOWS\system32\xxyxVmjG.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\jejhmlkp.dll" not found!
Deletion of file "C:\WINDOWS\system32\jejhmlkp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

ladym1972 · 17.05.2008, 17:35

nr2

"Silent Runners.vbs", revision 57, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background" [MS]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\Wcescomm.exe"" [MS]
"SpybotSD TeaTimer" = "E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"MPFExe" = "C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" ["McAfee Security"]
"CHotkey" = "mHotkey.exe" ["Chicony"]
"ledpointer" = "CNYHKey.exe" ["Chicony"]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["AOL LLC"]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1174285789\ee\AOLSoftware.exe" ["America Online, Inc."]
"StartCCC" = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [null data]
"AVK Mail Checker" = ""C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"" ["G DATA Software AG"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"408e815b" = "rundll32.exe "C:\WINDOWS\system32\xtxesbwn.dll",b" [MS]
"BM43bdb2c7" = "Rundll32.exe "C:\WINDOWS\system32\yqgdthtb.dll",s" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "E:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\xxyxVmjG.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{7D7A087F-820D-4B87-80DF-128CB8F060C1}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtsTNgf.dll" [file not found]
{d0f24051-db92-4576-be94-4e9cd8651f92}\(Default) = "{29f1568d-c9e4-49eb-6754-29bd15042f0d}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\sjoigasm.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {HKLM...CLSID} = "CloneCD Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"
-> {HKLM...CLSID} = "Mobiles Gerät"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Wcesview.dll" [MS]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\xxyxVmjG.dll" [file not found]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\awtsTNgf"

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"]|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> xxyxVmjG\DLLName = "xxyxVmjG.dll" [file not found]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\ShellExt.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\ShellExt.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "E:\Programme\ShotOnline\ScreenShot\5_9_22_48_39.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "E:\Programme\ShotOnline\ScreenShot\5_9_22_48_39.bmp"

Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

BlankCDHandler\
"Provider" = "@C:\Programme\ahead\nero\APHandler.dll,-101"
"InvokeProgID" = "APHandler.Handler.1"
"InvokeVerb" = "BlankCD"
HKLM\SOFTWARE\Classes\APHandler.Handler.1\shell\BlankCD\command\(Default) = "C:\Programme\ahead\nero\nero.exe /BlankCD" ["Ahead Software AG Karlsbad Germany Phone: +49-7248-911-800 Fax: +49-7248-911-888 e-mail: info@nero.com"]

CDAudioHandler\
"Provider" = "@C:\Programme\ahead\nero\APHandler.dll,-101"
"InvokeProgID" = "APHandler.Handler.1"
"InvokeVerb" = "CDAudio"
HKLM\SOFTWARE\Classes\APHandler.Handler.1\shell\CDAudio\command\(Default) = "C:\Programme\ahead\nero\nero.exe /CDAudio" ["Ahead Software AG Karlsbad Germany Phone: +49-7248-911-800 Fax: +49-7248-911-888 e-mail: info@nero.com"]

Startup items in "Christian" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "E:\Programme\Tuneup2008\OneClickStarter.exe /schedulestart" [null data]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{2670000A-7350-4F3C-8081-5663EE0C6C49}\
"ButtonText" = "An OneNote senden"
"MenuText" = "An OneNote s&enden"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Create Mobile Favorite"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\INetRepl.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "E:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"]
AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["AOL LLC"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVK Service, AVKService, "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe" [empty string]
C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\system32\drivers\CDAC11BA.EXE" ["Macrovision"]
G DATA AntiVirenKit Wächter, AVKWCtl, "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe" [empty string]
McAfee.com Personal Firewall Service, MpfService, "C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe" ["McAfee.com Corporation"]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS]

---------- (launch time: 2008-05-17 18:37:51)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 73 seconds, including 10 seconds for message boxes)

cosinus · 17.05.2008, 17:49

Denk bitte auch noch an die anderen Logfiles.
Mit dem Silentrunners werd ich wohl erstmal ne Weile beschäftigt sein.

Wenns geht bitte die Logsfiles mit [code]-tags umschlossen (der Button mit der #) posten.

ladym1972 · 17.05.2008, 18:27

is ok.
malware läuft noch

tausend dank für deine hilfe

britt

cosinus · 17.05.2008, 18:32

So, hab das silentrunners logfile durch. Geh mit dem avenger wieder vor wie vorhin, nur kopier diesmal diesen Text hier rein:

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\xtxesbwn.dll
C:\WINDOWS\system32\yqgdthtb.dll
C:\WINDOWS\system32\sjoigasm.dll

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\408e815b
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM43bdb2c7

Registry keys to delete:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7D7A087F-820D-4B87-80DF-128CB8F060C1}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d0f24051-db92-4576-be94-4e9cd8651f92}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}"
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxVmjG"

Der rest wie gehabt. Denk dran die Logfiles dann vom avenger, malwarebytes und listing.cmd zu posten!
Mach dann auch neue Logfiles mit silentrunners und hijackthis.

17.05.2008, 17:49	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Hilfe Virtumonde macht mich noch wuschig!! Denk bitte auch noch an die anderen Logfiles. Mit dem Silentrunners werd ich wohl erstmal ne Weile beschäftigt sein. Wenns geht bitte die Logsfiles mit [code]-tags umschlossen (der Button mit der #) posten. __________________ Logfiles bitte immer in CODE-Tags posten

Hilfe Virtumonde macht mich noch wuschig!!

Plagegeister aller Art und deren Bekämpfung: Hilfe Virtumonde macht mich noch wuschig!!