komisch, die findet es nicht. :-(

TeamViewer_Host.exe

Code: Alles auswählenAufklappen

ATTFilter

 Datei TeamViewer_Host.exe empfangen 2008.08.18 13:01:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.18	-
AntiVir	7.8.1.19	2008.08.18	-
Authentium	5.1.0.4	2008.08.18	-
Avast	4.8.1195.0	2008.08.17	-
AVG	8.0.0.161	2008.08.18	-
BitDefender	7.2	2008.08.18	-
CAT-QuickHeal	9.50	2008.08.16	-
ClamAV	0.93.1	2008.08.18	-
DrWeb	4.44.0.09170	2008.08.18	-
eSafe	7.0.17.0	2008.08.17	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.18	-
F-Prot	4.4.4.56	2008.08.18	-
F-Secure	7.60.13501.0	2008.08.18	-
Fortinet	3.14.0.0	2008.08.18	-
GData	2.0.7306.1023	2008.08.18	-
Ikarus	T3.1.1.34.0	2008.08.18	-
K7AntiVirus	7.10.417	2008.08.18	-
Kaspersky	7.0.0.125	2008.08.18	-
McAfee	5362	2008.08.15	-
Microsoft	1.3807	2008.08.18	-
NOD32v2	3364	2008.08.18	-
Norman	5.80.02	2008.08.15	-
Panda	9.0.0.4	2008.08.17	-
PCTools	4.4.2.0	2008.08.17	-
Prevx1	V2	2008.08.18	-
Rising	20.58.02.00	2008.08.18	-
Sophos	4.32.0	2008.08.18	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.18	-
TheHacker	6.3.0.5.053	2008.08.18	-
TrendMicro	8.700.0.1004	2008.08.18	-
VBA32	3.12.8.3	2008.08.18	-
ViRobot	2008.8.18.1339	2008.08.18	-
VirusBuster	4.5.11.0	2008.08.17	-
Webwasher-Gateway	6.6.2	2008.08.18	-
weitere Informationen
File size: 181544 bytes
MD5...: 6b5f5052f5c9b7ab7a22786e05a9f32e
SHA1..: d8f874798249eb8d90de2f3e9554f8b23ee5ed52
SHA256: 9ebf72c193bb7a8e655eb67c60ce1a9d0caa4f943abc0aa5784c224e95f05289
SHA512: dff7eff7ba4ff7fc30e30212950509928ce869fc151f21a8cd8274b749add33d
fe9d221e788f2ea7ff53f0adc4b5b80d6cd4ddee8fc7e9ca210c7208602ec842
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40e6d5
timedatestamp.....: 0x47d79932 (Wed Mar 12 08:49:54 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f62a 0x20000 6.62 843c082f829588ce1277eac7cbd14b7a
.rdata 0x21000 0x601a 0x7000 4.61 033d8c8ae9359726aacca5df11de82c0
.data 0x28000 0x3880 0x2000 3.19 9570a99bdd6caf0998e0cee9ba77bce9
.rsrc 0x2c000 0x74c 0x1000 4.46 bc5fa75946e15f01ff2501f583461bd7

( 9 imports )
> USERENV.dll: CreateEnvironmentBlock, DestroyEnvironmentBlock
> CRYPT32.dll: CertFreeCertificateContext, CryptVerifyMessageSignature, CertGetNameStringA
> imagehlp.dll: ImageEnumerateCertificates, ImageGetCertificateHeader, ImageGetCertificateData
> WINTRUST.dll: WinVerifyTrust
> WTSAPI32.dll: WTSQuerySessionInformationA, WTSFreeMemory
> KERNEL32.dll: GetCurrentProcess, CreateProcessA, GetPrivateProfileStringA, GetPrivateProfileIntA, WritePrivateProfileStringA, FreeLibrary, GetExitCodeProcess, SetLastError, DisconnectNamedPipe, ReadFile, WaitForSingleObject, DeleteFileA, SetEvent, CreateEventA, GetConsoleCP, SetFilePointer, GetStringTypeW, CreateNamedPipeA, GetModuleFileNameA, LocalFree, GetVersionExA, LoadLibraryA, GetProcAddress, GetCurrentProcessId, OpenProcess, GetLastError, CloseHandle, TerminateProcess, Sleep, GetConsoleMode, GetLocaleInfoW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FlushFileBuffers, SetCurrentDirectoryA, MultiByteToWideChar, LocalAlloc, CreateFileA, ProcessIdToSessionId, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, HeapFree, HeapAlloc, RtlUnwind, RaiseException, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, GetModuleHandleA, ExitProcess, WriteFile, GetStdHandle, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, WideCharToMultiByte, LCMapStringW, HeapSize, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, InitializeCriticalSection, InterlockedExchange, GetUserDefaultLCID, GetLocaleInfoA
> USER32.dll: MessageBoxA, ExitWindowsEx
> ADVAPI32.dll: StartServiceCtrlDispatcherA, SetServiceStatus, CreateServiceA, RegDeleteKeyA, CreateProcessAsUserA, RegCreateKeyA, RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegSetValueExA, DuplicateTokenEx, SetTokenInformation, RegOpenKeyExA, AllocateAndInitializeSid, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegSetKeySecurity, OpenSCManagerA, OpenServiceA, CloseServiceHandle, QueryServiceStatus, DeleteService, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges
> SHELL32.dll: ShellExecuteExA, ShellExecuteA

( 0 exports )
         

Datei ssmdrv.sys

Code: Alles auswählenAufklappen

ATTFilter

 Datei ssmdrv.sys(CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.7.4.1 	2008.07.05 	-
AntiVir 	7.8.0.64 	2008.07.05 	-
Authentium 	5.1.0.4 	2008.07.06 	-
Avast 	4.8.1195.0 	2008.07.05 	-
BitDefender 	7.2 	2008.07.06 	-
CAT-QuickHeal 	9.50 	2008.07.04 	-
ClamAV 	0.93.1 	2008.07.06 	-
DrWeb 	4.44.0.09170 	2008.07.06 	-
eSafe 	7.0.17.0 	2008.07.03 	-
eTrust-Vet 	31.6.5929 	2008.07.05 	-
Ewido 	4.0 	2008.07.06 	-
F-Prot 	4.4.4.56 	2008.07.06 	-
F-Secure 	7.60.13501.0 	2008.07.03 	-
Fortinet 	3.14.0.0 	2008.07.06 	-
GData 	2.0.7306.1023 	2008.07.06 	-
Ikarus 	T3.1.1.26.0 	2008.07.06 	-
Kaspersky 	7.0.0.125 	2008.07.06 	-
McAfee 	5332 	2008.07.04 	-
Microsoft 	1.3704 	2008.07.06 	-
NOD32v2 	3244 	2008.07.05 	-
Norman 	5.80.02 	2008.07.04 	-
Panda 	9.0.0.4 	2008.07.06 	-
Prevx1 	V2 	2008.07.06 	-
Rising 	20.51.60.00 	2008.07.06 	-
Sophos 	4.31.0 	2008.07.06 	-
Sunbelt 	3.1.1509.1 	2008.07.04 	-
Symantec 	10 	2008.07.06 	-
TheHacker 	6.2.96.373 	2008.07.05 	-
TrendMicro 	8.700.0.1004 	2008.07.05 	-
VBA32 	3.12.6.8 	2008.07.06 	-
VirusBuster 	4.5.11.0 	2008.07.06 	-
Webwasher-Gateway 	6.6.2 	2008.07.05 	-
weitere Informationen
File size: 21248 bytes
MD5...: 71d609c5dff067906d930bde031c4cfe
SHA1..: adeea881cb4f450a476a8fb3d698e8d936d57a0a
SHA256: 937822679f9d05ac91e9484c19c26dbf6432c7046dd31fa9ea2cb5788cb9c718
SHA512: f78bc1376bb5d8d1f2abda8a7660519c1652f759fef337204e5290faf7a00ef8
6e76bc3ca8cf945b6f42394063719060208e8555bf7fdbebf8b44b1e5f6cba08
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14146
timedatestamp.....: 0x473340f1 (Thu Nov 08 17:01:37 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x38de 0x3900 6.35 a58e836d26d72f70785364757605778a
.rdata 0x3d80 0x246 0x280 4.25 cdec8024ed638626696ff6e99ecd8628
.data 0x4000 0x64 0x80 1.27 29465b933f7084c36fbc87b0aabd976f
INIT 0x4080 0x982 0xa00 5.41 7948f29f4b6b0f59dfd9ef186bb9b3bc
.rsrc 0x4a80 0x428 0x480 3.15 e40ae2a7f66d9a124da392d72368418e
.reloc 0x4f00 0x39a 0x400 5.23 41943573b7335e118fd2252d0d0d5994

( 2 imports )
> ntoskrnl.exe: PsGetCurrentProcessId, KeInitializeEvent, ExFreePoolWithTag, ZwClose, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, RtlAppendUnicodeStringToString, RtlCopyUnicodeString, ExAllocatePoolWithTag, RtlStringFromGUID, ExUuidCreate, ExDeletePagedLookasideList, ExReleaseResourceLite, ExFreeToPagedLookasideList, ExAcquireResourceExclusiveLite, _alldiv, ObfDereferenceObject, KeWaitForSingleObject, KeReleaseSemaphore, IoFreeWorkItem, IoReleaseRemoveLockAndWaitEx, IoAcquireRemoveLockEx, IoQueueWorkItem, IoAllocateWorkItem, IoReleaseRemoveLockEx, ExfInterlockedInsertTailList, memset, _allshl, _allshr, memcpy, ExAllocateFromPagedLookasideList, IoCreateDevice, PsTerminateSystemThread, ExfInterlockedRemoveHeadList, ExAcquireResourceSharedLite, MmMapLockedPagesSpecifyCache, IoInitializeRemoveLockEx, ObReferenceObjectByHandle, PsCreateSystemThread, KeInitializeSemaphore, ExInitializePagedLookasideList, RtlAppendUnicodeToString, IofCallDriver, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, ExAllocatePoolWithTagPriority, ObfReferenceObject, IoFileObjectType, ZwOpenFile, IoGetRelatedDeviceObject, ObQueryNameString, ZwQuerySystemInformation, RtlEqualUnicodeString, ZwWaitForSingleObject, ZwFsControlFile, ZwCreateEvent, ZwQueryVolumeInformationFile, _allmul, ExDeleteResourceLite, ExInitializeResourceLite, KeTickCount, KeBugCheckEx, IoCreateSymbolicLink, IofCompleteRequest, RtlInitUnicodeString, IoDeleteSymbolicLink, _allrem, IoDeleteDevice, DbgPrint, RtlAnsiCharToUnicodeChar
> HAL.dll: ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql

( 0 exports )
         

Datei avipbb.sys

Code: Alles auswählenAufklappen

ATTFilter

 Datei avipbb.sys empfangen 2008.08.18 12:49:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.18	-
AntiVir	7.8.1.19	2008.08.18	-
Authentium	5.1.0.4	2008.08.18	-
Avast	4.8.1195.0	2008.08.17	-
AVG	8.0.0.161	2008.08.18	-
BitDefender	7.2	2008.08.18	-
CAT-QuickHeal	9.50	2008.08.16	-
ClamAV	0.93.1	2008.08.18	-
DrWeb	4.44.0.09170	2008.08.18	-
eSafe	7.0.17.0	2008.08.17	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.18	-
F-Prot	4.4.4.56	2008.08.18	-
F-Secure	7.60.13501.0	2008.08.18	-
Fortinet	3.14.0.0	2008.08.18	-
GData	2.0.7306.1023	2008.08.18	-
Ikarus	T3.1.1.34.0	2008.08.18	-
K7AntiVirus	7.10.417	2008.08.18	-
Kaspersky	7.0.0.125	2008.08.18	-
McAfee	5362	2008.08.15	-
Microsoft	1.3807	2008.08.18	-
NOD32v2	3364	2008.08.18	-
Norman	5.80.02	2008.08.15	-
Panda	9.0.0.4	2008.08.17	-
PCTools	4.4.2.0	2008.08.17	-
Prevx1	V2	2008.08.18	-
Rising	20.58.02.00	2008.08.18	-
Sophos	4.32.0	2008.08.18	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.18	-
TheHacker	6.3.0.5.053	2008.08.18	-
TrendMicro	8.700.0.1004	2008.08.18	-
VBA32	3.12.8.3	2008.08.18	-
ViRobot	2008.8.18.1339	2008.08.18	-
VirusBuster	4.5.11.0	2008.08.17	-
Webwasher-Gateway	6.6.2	2008.08.18	-
weitere Informationen
File size: 75072 bytes
MD5...: fdba6800835b9628ef401f642284ce55
SHA1..: 4003d78a7cb8dd1396c8f21df33ae0ceea3c2b7b
SHA256: 8ec02a5a7ac203c741e65e3270819c97563cfb5495162efa93dbe742ad070cc6
SHA512: f0747e3c15fcda722f979c96dc72128521c24f00f2d5b84731cb46cc8ac8c231
a7f2fb7f4f472fe3f0e58e5cfba60c07b06bed0c43f92fecfe406afad0722ee4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1f285
timedatestamp.....: 0x4864e386 (Fri Jun 27 12:56:38 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xb7a2 0xb800 6.59 e152ff91c93ebae25794c3f9d6f0cd2a
.rdata 0xbc80 0x58c 0x600 5.27 7dfb9bc381bcddbc73fd503347c34fc3
.data 0xc280 0x2d90 0x2e00 3.23 9d3f73591bf244d487eb1bbe7baa5d54
PAGE 0xf080 0x1ef 0x200 5.41 bf18b7c0e20d5a26b224b9f4310c3cf9
INIT 0xf280 0xb1e 0xb80 5.39 5a81e66ca4990310d1307326bfdd8fbb
.rsrc 0xfe00 0x460 0x480 3.24 272806126d1cb4e7728c03950042139d
.reloc 0x10280 0xd1c 0xd80 6.18 c9161b4bb02173b192d8804378ecc062

( 2 imports )
> ntoskrnl.exe: RtlInsertElementGenericTable, RtlDeleteElementGenericTable, KeDelayExecutionThread, _allmul, KeSetEvent, PsTerminateSystemThread, KeWaitForMultipleObjects, PsCreateSystemThread, ExAcquireResourceExclusiveLite, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceSharedLite, KeEnterCriticalRegion, ObfDereferenceObject, IoGetCurrentProcess, PsGetCurrentProcessId, MmGetSystemRoutineAddress, RtlInitUnicodeString, strncmp, RtlCompareUnicodeString, KeInitializeMutex, KeReleaseMutex, KeWaitForSingleObject, memset, IofCompleteRequest, IoReleaseCancelSpinLock, RtlCopyUnicodeString, KeQuerySystemTime, PsGetCurrentThreadId, memcpy, KeResetEvent, ZwClose, ZwWriteFile, ZwReadFile, ZwSetInformationFile, ZwCreateFile, wcsncpy, IoThreadToProcess, IoIsSystemThread, KeGetCurrentThread, ZwQueryValueKey, ZwOpenKey, ExDeletePagedLookasideList, ExDeleteResourceLite, IoDeleteDevice, IoDeleteSymbolicLink, RtlLookupElementGenericTable, ExInitializePagedLookasideList, IoCreateSymbolicLink, IoCreateDevice, ExInitializeResourceLite, PsGetVersion, ExFreeToPagedLookasideList, ZwFreeVirtualMemory, ZwOpenProcess, ExAllocateFromPagedLookasideList, KeServiceDescriptorTable, MmIsAddressValid, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, IoAllocateMdl, ZwQuerySystemInformation, ZwQueryInformationFile, IoFreeIrp, ProbeForRead, ProbeForWrite, ZwQueryInformationProcess, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ObReferenceObjectByHandle, RtlAppendUnicodeStringToString, ObQueryNameString, ZwUnmapViewOfSection, ZwMapViewOfSection, ZwCreateSection, RtlCompareString, IofCallDriver, IoBuildAsynchronousFsdRequest, KeClearEvent, IoGetRelatedDeviceObject, IoFileObjectType, ObfReferenceObject, ExEventObjectType, ZwCreateEvent, RtlIntegerToUnicodeString, ExQueueWorkItem, NtBuildNumber, KeTickCount, KeBugCheckEx, RtlEnumerateGenericTableWithoutSplaying, RtlInitializeGenericTable, ExFreePoolWithTag, ExAllocatePoolWithTag, PsSetCreateProcessNotifyRoutine, RtlUnwind, KeInitializeEvent
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex

( 0 exports )
         

Datei Launcher.exe

Code: Alles auswählenAufklappen

ATTFilter

 Datei Launcher.exe empfangen 2008.08.18 12:52:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.18	-
AntiVir	7.8.1.19	2008.08.18	-
Authentium	5.1.0.4	2008.08.18	-
Avast	4.8.1195.0	2008.08.17	-
AVG	8.0.0.161	2008.08.18	-
BitDefender	7.2	2008.08.18	-
CAT-QuickHeal	9.50	2008.08.16	-
ClamAV	0.93.1	2008.08.18	-
DrWeb	4.44.0.09170	2008.08.18	-
eSafe	7.0.17.0	2008.08.17	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.18	-
F-Prot	4.4.4.56	2008.08.18	-
F-Secure	7.60.13501.0	2008.08.18	-
Fortinet	3.14.0.0	2008.08.18	-
GData	2.0.7306.1023	2008.08.18	-
Ikarus	T3.1.1.34.0	2008.08.18	-
K7AntiVirus	7.10.417	2008.08.18	-
Kaspersky	7.0.0.125	2008.08.18	-
McAfee	5362	2008.08.15	-
Microsoft	1.3807	2008.08.18	-
NOD32v2	3364	2008.08.18	-
Norman	5.80.02	2008.08.15	-
Panda	9.0.0.4	2008.08.17	-
PCTools	4.4.2.0	2008.08.17	-
Prevx1	V2	2008.08.18	-
Rising	20.58.02.00	2008.08.18	-
Sophos	4.32.0	2008.08.18	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.18	-
TheHacker	6.3.0.5.053	2008.08.18	-
TrendMicro	8.700.0.1004	2008.08.18	-
VBA32	3.12.8.3	2008.08.18	suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot	2008.8.18.1339	2008.08.18	-
VirusBuster	4.5.11.0	2008.08.17	-
Webwasher-Gateway	6.6.2	2008.08.18	-
weitere Informationen
File size: 44168 bytes
MD5...: 200da7478004a87e3f85ece59e2b0c75
SHA1..: 9b8e7f612d5ab1afedd06e7b35050dc3b0ebd951
SHA256: d99efdaef4580114e55fd62eb79f5ad169b087b6ae1471672ad6b0d396c92e12
SHA512: 53c678a28a542e4d08a5fd9acef84e85985032ba681925d99c11e2ad6573a9e2
a26ab4b0e428c8788028ac51bef567decd8a2ac578714ec1777f8f5e91bba1cb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404f45
timedatestamp.....: 0x45af55bd (Thu Jan 18 11:10:53 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4c29 0x5000 5.93 9e057d4d845c20a11f9ce60dffb1b70b
.rdata 0x6000 0x15be 0x2000 3.19 165a4ce1cb510fe543af4f9b6d11b997
.data 0x8000 0xcf0 0x1000 3.04 8ca77973276272515381b3df5143f229
.rsrc 0x9000 0x3b0 0x1000 0.97 f2b32ac73aaf7a9674169ce0c2616e0c

( 7 imports )
> MFC42u.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcrt.dll: __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _exit, _c_exit, _onexit, __dllonexit, __p__fmode, __set_app_type, __1type_info@@UAE@XZ, _ltow, __CxxFrameHandler, wcslen, _wgetenv, _terminate@@YAXXZ, _controlfp, _except_handler3, _wcsicmp, wcscmp, _XcptFilter
> KERNEL32.dll: GetVolumeInformationW, CreateFileW, GetLastError, SetLastError, ReadFile, GetCurrentDirectoryW, GetExitCodeProcess, WaitForSingleObject, CreateProcessW, GetPrivateProfileIntW, GetPrivateProfileStringW, FormatMessageW, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, GetVersionExW, GetModuleHandleA, GetStartupInfoA, GetModuleFileNameW, MultiByteToWideChar, DeleteFileW, SetFileAttributesW, CloseHandle
> USER32.dll: wvsprintfW
> ADVAPI32.dll: RegOpenKeyW, RegSetValueExW, RegCloseKey
> VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoW
> SHLWAPI.dll: PathStripPathW

( 0 exports )
         

C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe

Code: Alles auswählenAufklappen

ATTFilter

 Datei InstallerHelper.exe empfangen 2008.08.18 12:56:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.18	-
AntiVir	7.8.1.19	2008.08.18	-
Authentium	5.1.0.4	2008.08.18	-
Avast	4.8.1195.0	2008.08.17	-
AVG	8.0.0.161	2008.08.18	-
BitDefender	7.2	2008.08.18	-
CAT-QuickHeal	9.50	2008.08.16	-
ClamAV	0.93.1	2008.08.18	-
DrWeb	4.44.0.09170	2008.08.18	-
eSafe	7.0.17.0	2008.08.17	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.18	-
F-Prot	4.4.4.56	2008.08.18	-
F-Secure	7.60.13501.0	2008.08.18	-
Fortinet	3.14.0.0	2008.08.18	-
GData	2.0.7306.1023	2008.08.18	-
Ikarus	T3.1.1.34.0	2008.08.18	-
K7AntiVirus	7.10.417	2008.08.18	-
Kaspersky	7.0.0.125	2008.08.18	-
McAfee	5362	2008.08.15	-
Microsoft	1.3807	2008.08.18	-
NOD32v2	3364	2008.08.18	-
Norman	5.80.02	2008.08.15	-
Panda	9.0.0.4	2008.08.17	-
PCTools	4.4.2.0	2008.08.17	-
Prevx1	V2	2008.08.18	-
Rising	20.58.02.00	2008.08.18	-
Sophos	4.32.0	2008.08.18	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.18	-
TheHacker	6.3.0.5.053	2008.08.18	-
TrendMicro	8.700.0.1004	2008.08.18	-
VBA32	3.12.8.3	2008.08.18	-
ViRobot	2008.8.18.1339	2008.08.18	-
VirusBuster	4.5.11.0	2008.08.17	-
Webwasher-Gateway	6.6.2	2008.08.18	-
weitere Informationen
File size: 7680 bytes
MD5...: d540c7cc7c8d24f024bb35e50cfe6759
SHA1..: f874f3a99d178a71582ab4e9bdc1ffa8d6dc0136
SHA256: 81564c32a77585b3e9bd4f35ff56ef8f1cebabbd1c7a17a1327600ae8b874bcc
SHA512: 1e81b43e4190bce47be7465426301a29000486906022eb31cb3966d8e2ac6869
bca593bb57930ab263dac997527a41a59418c0f007ba4c395cbc6d3592c3a87b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401616
timedatestamp.....: 0x47c29eb2 (Mon Feb 25 10:55:46 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xbf8 0xc00 5.94 62635e2b953f0d602f04e0053b82ecf6
.rdata 0x2000 0x768 0x800 4.63 db4296146074c65282450e93463f9eda
.data 0x3000 0x388 0x200 0.35 e2b23683a8b8935f281d74e560c5fad8
.rsrc 0x4000 0x22c 0x400 4.95 17d96e08d148764f871fef752ff118d0

( 3 imports )
> ADVAPI32.dll: RegOpenKeyExW, RegCloseKey, RegQueryValueExW, RegSetValueExW, RegCreateKeyExW
> MSVCR80.dll: _encode_pointer, __set_app_type, _crt_debugger_hook, __p__fmode, _unlock, __dllonexit, _lock, _onexit, _decode_pointer, _except_handler4_common, _invoke_watson, _controlfp_s, __p__commode, _adjust_fdiv, __setusermatherr, _configthreadlocale, _initterm_e, _initterm, _acmdln, exit, _ismbblead, _XcptFilter, _exit, _cexit, __getmainargs, _amsg_exit, _terminate@@YAXXZ
> KERNEL32.dll: GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange

( 0 exports )
         

Datei pxhelp20.sys

Code: Alles auswählenAufklappen

ATTFilter

 Datei pxhelp20.sys empfangen 2008.08.18 12:58:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.18	-
AntiVir	7.8.1.19	2008.08.18	-
Authentium	5.1.0.4	2008.08.18	-
Avast	4.8.1195.0	2008.08.17	-
AVG	8.0.0.161	2008.08.18	-
BitDefender	7.2	2008.08.18	-
CAT-QuickHeal	9.50	2008.08.16	-
ClamAV	0.93.1	2008.08.18	-
DrWeb	4.44.0.09170	2008.08.18	-
eSafe	7.0.17.0	2008.08.17	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.18	-
F-Prot	4.4.4.56	2008.08.18	-
F-Secure	7.60.13501.0	2008.08.18	-
Fortinet	3.14.0.0	2008.08.18	-
GData	2.0.7306.1023	2008.08.18	-
Ikarus	T3.1.1.34.0	2008.08.18	-
K7AntiVirus	7.10.417	2008.08.18	-
Kaspersky	7.0.0.125	2008.08.18	-
McAfee	5362	2008.08.15	-
Microsoft	1.3807	2008.08.18	-
NOD32v2	3364	2008.08.18	-
Norman	5.80.02	2008.08.15	-
Panda	9.0.0.4	2008.08.17	-
PCTools	4.4.2.0	2008.08.17	-
Prevx1	V2	2008.08.18	-
Rising	20.58.02.00	2008.08.18	-
Sophos	4.32.0	2008.08.18	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.18	-
TheHacker	6.3.0.5.053	2008.08.18	-
TrendMicro	8.700.0.1004	2008.08.18	-
VBA32	3.12.8.3	2008.08.18	-
ViRobot	2008.8.18.1339	2008.08.18	-
VirusBuster	4.5.11.0	2008.08.17	-
Webwasher-Gateway	6.6.2	2008.08.18	-
weitere Informationen
File size: 36528 bytes
MD5...: feffcfdc528764a04c8ed63d5fa6e711
SHA1..: 15fc6bb1aceaa7b59538098c23b1f00afd18148b
SHA256: becc9174da5860fcf011957cb6a12de5074a770dc14076c0c94e63ad42ecf19e
SHA512: ccc34132e61c6651f980c23d753417c06c6703a96e4aa039712dffcd85046771
05387ad78d8e6d4a8b8e752a607b9330199d1ed1c10b5e7123816c865d3cbf55
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1591a
timedatestamp.....: 0x44c5634d (Tue Jul 25 00:18:21 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x6694 0x66a0 6.55 ba7a286ef6fe7ef727ec2d352dada69e
.rdata 0x6960 0x1fc 0x200 3.76 43da42e5dcecb720a68da8f65ce6a873
.data 0x6b60 0xea4 0xec0 1.72 afff72162cec4894804d2d49af8a26e6
INIT 0x7a20 0x68e 0x6a0 5.11 466a4c5d0eaece0e387be158385c717a
.rsrc 0x80c0 0x338 0x340 3.19 3ef1637b7992c80edffed31bc34a4896
.reloc 0x8400 0x72a 0x740 6.33 909a8ef807c0795579d8726c9802c796

( 3 imports )
> NTOSKRNL.EXE: IoFreeMdl, MmUnlockPages, KeWaitForSingleObject, IoBuildAsynchronousFsdRequest, ExAllocatePoolWithTag, KeInitializeEvent, InterlockedIncrement, IoFreeIrp, IoStopTimer, KeClearEvent, IofCallDriver, IoBuildDeviceIoControlRequest, RtlCompareMemory, InterlockedDecrement, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, ExFreePool, IoStartTimer, KeQueryInterruptTime, IofCompleteRequest, MmMapLockedPagesSpecifyCache, InterlockedExchange, IoDeleteSymbolicLink, RtlInitUnicodeString, IoInitializeTimer, IoCreateSymbolicLink, sprintf, ProbeForWrite, IoReleaseCancelSpinLock, MmUnmapLockedPages, MmBuildMdlForNonPagedPool, IoAllocateMdl, KeCancelTimer, KeSetTimer, MmProbeAndLockPages, IoAllocateIrp, ZwOpenKey, ZwQueryValueKey, ZwClose, ObfDereferenceObject, IoGetDeviceObjectPointer, PoCallDriver, PoStartNextPowerIrp, InterlockedCompareExchange, _wcsnicmp, KeInitializeDpc, KeInitializeTimer, IoInitializeRemoveLockEx, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, KeInitializeSpinLock, IoDetachDevice, IoReleaseRemoveLockAndWaitEx, KeSetEvent, RtlUnwind
> HAL.DLL: KfReleaseSpinLock, KfAcquireSpinLock
> ntoskrnl.exe: PsGetVersion, MmFreeContiguousMemory, MmAllocateContiguousMemory, InitSafeBootMode, MmIsAddressValid

( 0 exports )
         

die : LSSrvc.exe und C:\Windows\system32\drivers\mwsbpc.sys finde ich nicht, bzw. die zeigt es mir trotz der einstellungen nicht an.


Wäre es vielleicht einfach klug Windows neu draufzuspielen?

Das wird langsam echt zu heikel hier noch weiter zu machen..

Ich kann für die Systemsicherheit nicht garantieren und wahrscheinlich geht's echt schneller Windows neu drauf zu spielen..

Du könntest nochmal folgenden Skript ausführen:

Start->ausführen: cmd /c dir "c:\*.*" /L /A /B /S|Find " winvtu32.rom " >> "%userprofile%\desktop\findfile.txt"

Poste den Inhalt der damit erstellten findfile.txt die sich auf deinem Desktop befindet.

Und magst du uns noch einen Geafllen tun? Die Dateien sind garantiert nicht sauber und da VT nichts findet tippe ich auf einen ganz neuen Schädling. Den würde ich zur Analyse an ein Virenlabor schicken..
http://www.trojaner-board.de/54791-a...ner-board.html
Wenn du das für folgende Dateien machen könntest wäre das super!
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
C:\Windows\SMINST\launcher.exe

kann ich gerne machen, kanst du mir auch noch einen gefallen tun???

Kann ich Videos und Bilder soweit brennen oder ist das zu riskant?
DIe brauch ich unbedingt. Und muß ich bei ner Vista-Neuinstallation irgendwas beachten? hab das noch nie gemacht...

Und kann über den Router auf einen anderen Laptop was gegangen sein?

sorry, falls ich doofe fragen stelle, wie gesgat, kenne mich nicht so aus.

Zitat:

kanst du mir auch noch einen gefallen tun???

Was für einen denn?

Zitat:

Und kann über den Router auf einen anderen Laptop was gegangen sein?

eher nicht aber bei dem Befall.. vermag ich das nicht so genau zu sagen... warten wir mal was das Virenlabor sagt..
Ist mir jedenfalls noch nicht häufig untergekommen sowas hartnäckiges..

Hier mal ein Leitfaden für dein weiteres Vorgehen:

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

bei mbr kam das raus:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: error reading MBR

Ist das okay?

Zitat:

Ist das okay?

nein. :|

Man man..

Versuche das ganze bitte nochmal aus dem abgesicherten Modus heraus.


Sollte es dort auch nicht klappen:

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

PS: Kannst du das Skript noch ausführen:

Zitat:

Start->ausführen: cmd /c dir "c:\*.*" /L /A /B /S|Find " winvtu32.rom " >> "%userprofile%\desktop\findfile.txt"

Wenn wir die erwischen könnte uns das erheblich weiterbringen..

so, im abgesicherten modus kam bei gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-18 14:41:00
Windows 6.0.6001 Service Pack 1


---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
         

Das script mach ich jetzt gleich mal

mit dem skript mußt du mir helfen. soll ich das jetzt alles komplett in die EIngabeaufforderung reinkopieren???

Da kommt "Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichung ist falsch."

In das "Öffnen" Feld welches du über Start -> ausführen erreichst kopierst du folgendes rein:

Zitat:

cmd /c dir "c:\*.*" /L /A /B /S|Find "winvtu32.rom" >> "%userprofile%\desktop\findfile.txt"

Zitat:

so, im abgesicherten modus kam bei gmer:

sry, das war missverständlich.
Versuche bitte die mbr.exe im abgesicherten Modus auszuführen. Sollte dann wieder sowas

Zitat:

device: opened successfully
user: error reading MBR
kernel: error reading MBR

erscheinen, führe bitte gmer nach Anleitung im normalen Modus aus.

also, wenn ich das da in das Feld reinkpiere, geht erst ein schwarzes Fenster auf, steht nix drin. Das bleibt s 30 sek. offen und geht dann ohne kommentar zu.

so und bei MBR kam jetzt im abgesicherten Modus das:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

jetzt ok?

was ich mich jetzt frage.

ALs ich den Laptop gekauft habe gabs keine Vista CD dazu. Das System war schon drauf. Ich mußte damals eine/zwei Wiederherstellungs CD's machen, gleich zu beginn. Das hab ich getan. Nehme ich diese jetzt um Windows neu zu installieren???