Hallo (nun mit eigenem Post - Sorry, aber wer lesen kann ist klar im Vorteil ! Dabei habe ich die Regeln mir extra noch zu Gemüte geführt.)

Ich habe mich eben aus der Not heraus frisch hier angemeldet.
Seit heute Mittag 12.00 etwa habe ich einen blauen Hintergrund mit der Aufschrift "Warning! Spyware detected on your pc - Install an antivirus or spyware remover to clean your pc!"

Das tool HijackThis habe ich mir bereits runtergeladen. Das Logfile sieht wie folgt aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:56, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\basfipm.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\System Center Operations Manager 2007\HealthService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\UTSCSI.EXE
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\DOKUME~1\proha\LOKALE~1\Temp\NpaN.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\WINDOWS\system32\spoolsv.exe
E:\HiJackThis.exe
C:\WINDOWS\system32\userinit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://intranet/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://intranet
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dell Deutschland -Startseite - Computer, Computerausrüstung, Elektronik und Service.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von IBF AG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [advap32] C:\DOKUME~1\proha\LOKALE~1\Temp\NpaN.exe/r
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = i++.ch
O17 - HKLM\Software\..\Telephony: DomainName = i++.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = i++.ch
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: USBest Service Zero (UTSCSI) - USBest - C:\WINDOWS\system32\UTSCSI.EXE
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7691 bytes

Was muss / kann ich tun, um dieses "Ding" wieder loszuwerden?

Hannes

Hallo penelope888 und






Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Zitat:

C:\DOKUME~1\proha\LOKALE~1\Temp\NpaN.exe
C:\WINDOWS\system32\ctfmona.exe

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Ich misch mich mal ein

Lass bitte

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ctfmona.exe
         

auch bei Virustotal auswerten, deinstalliere außerdem die AskBar

so far

Den ersten Schritt habe ich erledigt.
Muss ich die anderen Schritte in jedem Fall durchführen oder waren dies Alternativen zu Virustotal?

Herzlichen Dank

Hannes



Datei NpaN.exe empfangen 2008.05.31 08:38:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 10/31 (32.26%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.25 2008.05.30 TR/Dropper.Gen
Authentium 5.1.0.4 2008.05.31 -
Avast 4.8.1195.0 2008.05.30 -
AVG 7.5.0.516 2008.05.30 -
BitDefender 7.2 2008.05.31 -
CAT-QuickHeal 9.50 2008.05.30 TrojanDownloader.Mutant.yy
ClamAV 0.92.1 2008.05.31 -
DrWeb 4.44.0.09170 2008.05.30 Trojan.Rntm.6
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.05.30 -
F-Prot 4.4.4.56 2008.05.31 -
F-Secure 6.70.13260.0 2008.05.31 Trojan-Downloader.Win32.Mutant.zn
Fortinet 3.14.0.0 2008.05.30 -
GData 2.0.7306.1023 2008.05.31 Trojan-Downloader.Win32.Mutant.zn
Ikarus T3.1.1.26.0 2008.05.31 -
Kaspersky 7.0.0.125 2008.05.31 Trojan-Downloader.Win32.Mutant.zn
McAfee 5307 2008.05.30 -
Microsoft None 2008.05.31 -
NOD32v2 3148 2008.05.30 -
Norman 5.80.02 2008.05.30 W32/Smalldrp.YSM
Panda 9.0.0.4 2008.05.31 -
Prevx1 V2 2008.05.31 Cloaked Malware
Rising 20.46.50.00 2008.05.31 -
Sophos 4.29.0 2008.05.31 Mal/Generic-A
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.31 -
VBA32 3.12.6.6 2008.05.31 -
VirusBuster 4.3.26:9 2008.05.30 -
Webwasher-Gateway 6.6.2 2008.05.30 Trojan.Dropper.Gen
weitere Informationen
File size: 11776 bytes
MD5...: f0a34595521d3c6d025dbd2e78646040
SHA1..: ae6f5928aed5a53c0b4d5f108d2f5769dccbb212
SHA256: e059720c0046d1286bbde1448d0cd5acc7e41b163234b33a5e141b0dab1a9eca
SHA512: 5b0b683b8a891135b4281b82712fb14383971209851c7b7132650f500d38f7d5
8dee229a9ec91ac0af04c3de9e2b22aafb769ec2a029490e5cc78991a5f8527b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010b5
timedatestamp.....: 0x483e8dab (Thu May 29 11:04:11 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c6 0x400 4.55 e3b8da5fe06332b74ec976c6354e077b
.rsrc 0x2000 0x2688 0x2800 7.85 561e210c4a994f254d5da853b6d2e597

( 2 imports )
> KERNEL32.dll: VirtualProtect, VirtualAlloc
> USER32.dll: FindWindowA

( 0 exports )

Prevx info: 74436853.EXE - Prevx


Datei userinit.exe empfangen 2008.05.31 08:41:12 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/31 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.25 2008.05.30 -
Authentium 5.1.0.4 2008.05.31 -
Avast 4.8.1195.0 2008.05.30 -
AVG 7.5.0.516 2008.05.30 -
BitDefender 7.2 2008.05.31 -
CAT-QuickHeal 9.50 2008.05.30 -
ClamAV 0.92.1 2008.05.31 -
DrWeb 4.44.0.09170 2008.05.30 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.05.30 -
F-Prot 4.4.4.56 2008.05.31 -
F-Secure 6.70.13260.0 2008.05.31 -
Fortinet 3.14.0.0 2008.05.30 -
GData 2.0.7306.1023 2008.05.31 -
Ikarus T3.1.1.26.0 2008.05.31 -
Kaspersky 7.0.0.125 2008.05.31 -
McAfee 5307 2008.05.30 -
Microsoft None 2008.05.31 -
NOD32v2 3148 2008.05.30 -
Norman 5.80.02 2008.05.30 -
Panda 9.0.0.4 2008.05.31 -
Prevx1 V2 2008.05.31 -
Rising 20.46.50.00 2008.05.31 -
Sophos 4.29.0 2008.05.31 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.31 -
VBA32 3.12.6.6 2008.05.31 -
VirusBuster 4.3.26:9 2008.05.30 -
Webwasher-Gateway 6.6.2 2008.05.30 -
weitere Informationen
File size: 25088 bytes
MD5...: d1e53dc57143f2584b1dd53b036c0633
SHA1..: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa
SHA256: 66562aa550338571595975a81654834878c890126c8d513141a9903b72f9943d
SHA512: 107162228aefdd96305c3460abada259180a64c71a5994eb2d41daaf97b43e7c
9a18ebdf509b4935ad0c4894846b14b2eca97bead304c73556902022b9b1b94f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10050e5
timedatestamp.....: 0x41107b78 (Wed Aug 04 06:00:24 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4db8 0x4e00 6.01 510e211d12a2f009afb5f7a90cff9783
.data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1
.rsrc 0x7000 0xce0 0xe00 3.76 8b4bed593db3a5e5efda36f52c878d12

( 7 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv
> KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW

( 0 exports )

Datei ctfmona.exe empfangen 2008.05.31 08:43:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 9/31 (29.04%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.25 2008.05.30 HEUR/Malware
Authentium 5.1.0.4 2008.05.31 W32/Tibs.K.gen!Eldorado
Avast 4.8.1195.0 2008.05.30 -
AVG 7.5.0.516 2008.05.30 -
BitDefender 7.2 2008.05.31 -
CAT-QuickHeal 9.50 2008.05.30 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.05.31 -
DrWeb 4.44.0.09170 2008.05.30 Trojan.Fakealert.569
eSafe 7.0.15.0 2008.05.29 Suspicious File
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.05.30 -
F-Prot 4.4.4.56 2008.05.31 W32/Tibs.K.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.31 -
Fortinet 3.14.0.0 2008.05.30 -
GData 2.0.7306.1023 2008.05.31 -
Ikarus T3.1.1.26.0 2008.05.31 -
Kaspersky 7.0.0.125 2008.05.31 not-a-virus:FraudTool.Win32.Agent.d
McAfee 5307 2008.05.30 -
Microsoft None 2008.05.31 -
NOD32v2 3148 2008.05.30 -
Norman 5.80.02 2008.05.30 -
Panda 9.0.0.4 2008.05.31 -
Prevx1 V2 2008.05.31 Cloaked Malware
Rising 20.46.50.00 2008.05.31 -
Sophos 4.29.0 2008.05.31 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.31 -
VBA32 3.12.6.6 2008.05.31 -
VirusBuster 4.3.26:9 2008.05.30 -
Webwasher-Gateway 6.6.2 2008.05.30 Heuristic.Malware
weitere Informationen
File size: 101376 bytes
MD5...: 4eea686ab750c78b8aa3fdaf96156683
SHA1..: 26e415926d948400f73bfc29933c5ab0418feb02
SHA256: b51bd49696f734ee3463bcf1b823d5ac30f8f56121a9d63b7892ce38ff74be62
SHA512: 0b6bb985f87ed7c5812570e3d963bb1dd32feb9371b0d57d75dff4d9bd1ce69f
18f46618f0b61de325a1eed5a047156d0883efb99bf7466964bd08608385778c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401d6f
timedatestamp.....: 0x47fe224a (Thu Apr 10 14:20:58 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8f33 0x6000 7.99 d7f168c44758fba57f00de435120e195
.rdata 0xa000 0x3777 0x1800 7.97 1336e7e408d23f25b090b4ee66e77b6e
.data 0xe000 0x69bab 0xf000 8.00 703cb761dd52dba264845136b8963d26
.rsrc 0x78000 0x2000 0x2000 5.42 c0b4874fd08f9912149a86364c7faf2c

( 2 imports )
> kernel32.dll: CreateWaitableTimerW, CopyFileW, DeleteAtom, EnumCalendarInfoExW, DeleteFiber, FatalExit
> msvcrt.dll: __p__osver, __p__winver, __toascii, __argc, __doserrno, __threadid

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramte...DE8200F6E3CDEA

Die anderen Schritte solltest du auf jeden Fall auch abarbeiten.