| |
| |||||||
Log-Analyse und Auswertung: Virtumonde! Bitte um Hilfe.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.08.2008, 08:39
| #1 |
| |  Virtumonde! Bitte um Hilfe. Guten Morgen allerseits. Hab auf meinem System Virtumonde drauf und denke noch ein paar Würmer. Ich weis, das es hier im Forum schon mehremals drüber geschrieben wurde. Aber ich denke, dass jeder Fall anders und individuell ist, deswegen möchte ich euch bitten meine Logs anzusehen. Wenn ich mein Rechner starte kommt eine Meldung, dass die kqdpvfph.dll fehlt oder nicht gestartet werden konnte. Und da kommen noch ein paar Eingabeaufforderungsfenstar auf und gehen sofort zu. Wenn ich den Rechner runterfahre bekomme ich ein Bluescree mit der Meldung, dass Winlogon unerwaret beendet wurde oder so was in der Art. Der Spyboot findet zwei Eintäge mit Virtumonde (Log hänge ich unten an). Spysweeper meldet 4 Einträge (Virtumonde, Trojan.gen, Trojan agent, antivirus 2008; Log unten), wobei antivirus 2008 solle bereits vom Sysem weg sein. Denke es sind nur noch Registry-Einträge. Ich würde gerne die Würmer entfernen ohne ganzes System neu aufzusetzen. Bitte um Hilfe!!! HiJack-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 06:55:32, on 15.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe C:\Programme\Antispy\AVG Anti-Spyware 7.5\guard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\crypserv.exe C:\Lon\LonWorks\bin\LnsMtsSvc.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Antispy\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\CCM\CcmExec.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\system32\Pmxmiced.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Antispy\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe E:\Virtumonde\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file-mstga3/WOTrackingViewer/WOViewer.aspx R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe" O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [38f4f854] rundll32.exe "C:\WINDOWS\system32\mxvcbdxk.dll",b O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Antispy\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [BM3bc7cbc8] Rundll32.exe "C:\WINDOWS\system32\kqdpvfph.dll",s O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.brooks.com O15 - Trusted Zone: *.brooks.com (HKLM) O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - h**p://w*w.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} (Pixum EasyUploadX Control) - h**p://w*w.pixum.de/int/EasyUpload/ImgUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = brooks.com O17 - HKLM\Software\..\Telephony: DomainName = brooks.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brooks.com O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Antispy\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Echelon xDriver Connection Broker (LdvxBroker) - Echelon Corporation - C:\Lon\LonWorks\bin\LdvxBroker.exe O23 - Service: Echelon Support Service for Microsoft Terminal Services (MTS) (LnsMtsSvc) - Echelon Corporation - C:\Lon\LonWorks\bin\LnsMtsSvc.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Antispy\Spy Sweeper\SpySweeper.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 7961 bytes Code:
ATTFilter --- Search result list ---
Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! ()
Virtumonde: [SBI $42352499] Benutzereinstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-223235427-762778886-1232828436-13006\Software\Microsoft\rdfa
Virtumonde: [SBI $47E741CD] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
Virtumonde: [SBI $1F8EC695] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
Virtumonde.dll: [SBI $8E1ED839] Bibliothek (Datei, nothing done)
C:\WINDOWS\system32\wvUmJcbY.dll
Virtumonde.dll: [SBI $0EAADE49] Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3393C10D-A61B-455F-80C5-9BE393BF14EB}
Virtumonde.dll: [SBI $0EAADE49] Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3393C10D-A61B-455F-80C5-9BE393BF14EB}
Der kompleter Bericht liegt hier: SpybotSD.Results
 extern anschauen |
|
15.08.2008, 21:38
| #2 |
| /// AVZ-Toolkit Guru   | Virtumonde! Bitte um Hilfe. Halli hallo wasch
__________________ Deinstalliere bitte zu erst Spybot, AVG-AntiSpy und Spysweeper! Installiere dir ein AntiVir Prog deiner Wahl. Ich würde AntiVir-Free oder Avast-Free empfehlen. Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste danach ein HJT log. Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung
__________________ |
|
18.08.2008, 09:38
| #3 |
| | Virtumonde! Bitte um Hilfe. Hallo,
__________________hab jetzt mal alles durchgeführt. Hier sind die aktulle Logs, bitte schaut euch diese mal an: Combofix: Code:
ATTFilter ComboFix 08-08-13.05 - *** 2008-08-18 9:11:41.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Programme\Antispy
C:\WINDOWS\system32\ctmamjxh.ini
C:\WINDOWS\system32\ompnrggi.ini
C:\WINDOWS\system32\uninstall.exe
C:\WINDOWS\system32\x64
----- BITS: Eventuell infizierte Webseiten -----
h**p://SMSBROOKS01:80
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Service_NPF
((((((((((((((((((((((( Dateien erstellt von 2008-07-18 bis 2008-08-18 ))))))))))))))))))))))))))))))
.
2008-08-15 10:56 . 2008-08-15 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-08-15 10:56 . 2008-08-15 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-14 15:30 . 2008-08-14 15:30 164 --a------ C:\install.dat
2008-08-14 14:41 . 2008-08-14 14:41 <DIR> d-------- C:\KEYENCE
2008-08-14 14:40 . 1996-11-05 16:19 247,648 --a------ C:\WINDOWS\UNINST16.EXE
2008-08-14 14:40 . 1995-07-13 18:43 26,768 --a------ C:\WINDOWS\system\CTL3D.DLL
2008-08-14 14:05 . 2008-08-14 14:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-08-14 11:05 . 2008-08-14 11:05 130,048 --a------ C:\WINDOWS\system32\lhtjkiyb.exe
2008-08-11 13:43 . 2008-08-18 07:13 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-08-11 11:44 . 2008-08-11 11:44 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2008-08-11 11:42 . 2008-08-11 11:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-11 11:42 . 2008-08-11 11:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-05 13:19 . 2008-08-05 13:19 <DIR> d-------- C:\Programme\MSECache
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 05:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-15 10:32 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ride7
2008-08-14 11:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-14 09:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-08-14 09:20 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony
2008-08-14 09:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\National Instruments
2008-07-11 05:31 --------- d-----w C:\Programme\Winamp
2008-07-10 07:54 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ZIP RAR ACE Password Recovery
2008-07-08 07:48 --------- d-----w C:\Programme\Paint.NET
2008-07-01 07:50 --------- d-----w C:\Programme\Hewlett-Packard
2008-06-25 12:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-24 05:03 --------- d-----w C:\Programme\Gemeinsame Dateien\EuroPlus Shared
2007-06-14 11:46 29,664 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-10 07:11 94,080 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezplay.sys
2007-05-10 07:11 87,608 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezpinst.exe
2007-05-10 07:11 47,360 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 08:24 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 16:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-07-22 01:50 86016]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 17:07 843776]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 22:29 49152]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 07:20 122940]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 09:00 94208]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2005-12-07 04:55 131072]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe" [2003-10-07 10:48 147514]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 20:16 286720]
"PMX Daemon"="ICO.EXE" [2006-06-09 14:47 47104 C:\WINDOWS\system32\ico.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 16:00 15360]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 16:00 15360 C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2006-07-22 01:48 98304 C:\WINDOWS\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2006-07-22 01:47 81920 C:\WINDOWS\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 03:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Lantronix\\DeviceInstaller\\DeviceInstaller.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
R0 PSeries;PSeries;C:\WINDOWS\system32\drivers\pseries.sys [2008-05-05 13:53]
R2 ASFIPmon;Broadcom ASF IP Monitor;C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe [2006-03-17 19:25]
R2 CcmExec;SMS Agent Host;C:\WINDOWS\system32\CCM\CcmExec.exe [2006-02-09 03:50]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 10:42]
R2 LnsMtsSvc;Echelon Support Service for Microsoft Terminal Services (MTS);C:\Lon\LonWorks\bin\LnsMtsSvc.exe [2006-05-17 02:30]
R2 par1284;par1284;C:\WINDOWS\system32\drivers\par1284.sys [2003-05-08 11:44]
R2 PEPNT;PEPNT;C:\WINDOWS\system32\drivers\PEPNT.sys [1997-09-18 13:00]
R2 STM Parallel Driver;STM Parallel Driver;C:\WINDOWS\system32\drivers\parstm.sys [2003-07-09 16:31]
R3 pmxmouse;PMXMOUSE;C:\WINDOWS\system32\DRIVERS\pmxmouse.sys [2006-04-24 12:57]
R3 pmxusblf;PMXUSBLF;C:\WINDOWS\system32\DRIVERS\pmxusblf.sys [2006-04-24 12:59]
R3 pnplon;LonWorks PCLTA;C:\WINDOWS\system32\drivers\pnplon.sys [2006-05-17 02:30]
R3 prepdrvr;SMS Process Event Driver;C:\WINDOWS\system32\CCM\prepdrv.sys [2006-02-09 03:50]
S3 brfilt;Brother MFC-Filtertreiber;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 13:12]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber;C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 13:12]
S3 BrParWdm;Brother WDM-Treiber (parallel);C:\WINDOWS\system32\Drivers\BrParwdm.sys [2001-08-18 04:21]
S3 elUsbPCCard;elupcr.sys device driver;C:\WINDOWS\system32\DRIVERS\elupcr.sys [2006-03-07 13:46]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-06-06 09:43]
S3 LdvxBroker;Echelon xDriver Connection Broker;C:\Lon\LonWorks\bin\LdvxBroker.exe [2006-05-17 02:30]
S3 PcCGoCls;PcCGoCls;C:\WINDOWS\system32\Drivers\PcCGoCls.sys [2002-02-20 17:09]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 07:33]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-02-08 13:55]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\sea1mdfl.sys [2007-02-08 13:55]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\sea1mdm.sys [2007-02-08 13:55]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sea1mgmt.sys [2007-02-08 13:56]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);C:\WINDOWS\system32\DRIVERS\sea1nd5.sys [2007-02-08 13:56]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\sea1obex.sys [2007-02-08 13:56]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);C:\WINDOWS\system32\DRIVERS\sea1unic.sys [2007-02-08 13:56]
S3 SNXPCARD;PCI Multi I/O Card Driver;C:\WINDOWS\system32\DRIVERS\snxpcard.sys [2003-04-11 16:43]
S3 SNXPSERX;PCI Serial Port Driver;C:\WINDOWS\system32\DRIVERS\snxpserx.sys [2003-04-11 16:05]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
2008-07-30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tbpyhzmd.default\
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-08-18 09:31:58
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinVNC4]
"ImagePath"="\"C:\Programme\RealVNC\VNC4\WinVNC4.exe\" -log \"*:EventLog:0\" -log Connections:EventLog:100 -service "
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\system32\Crypserv.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\system32\CCM\clicomp\RemCtrl\Wuser32.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\pmxmiced.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-18 9:34:55 - PC wurde neu gestartet [***]
ComboFix-quarantined-files.txt 2008-08-18 07:34:30
Pre-Run: 22 Verzeichnis(se), 48,415,199,232 Bytes frei
Post-Run: 25 Verzeichnis(se), 48,343,953,408 Bytes frei
169
HiJack: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:56, on 2008-08-18 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\crypserv.exe C:\Lon\LonWorks\bin\LnsMtsSvc.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe C:\WINDOWS\system32\CCM\CcmExec.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\WINDOWS\system32\Pmxmiced.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE E:\Berichte\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file-mstga3/WOTrackingViewer/WOViewer.aspx R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe" O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.brooks.com O15 - Trusted Zone: *.brooks.com (HKLM) O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - h**p://w*w.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} (Pixum EasyUploadX Control) - h**p://w*w.pixum.de/int/EasyUpload/ImgUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = brooks.com O17 - HKLM\Software\..\Telephony: DomainName = brooks.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brooks.com O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Echelon xDriver Connection Broker (LdvxBroker) - Echelon Corporation - C:\Lon\LonWorks\bin\LdvxBroker.exe O23 - Service: Echelon Support Service for Microsoft Terminal Services (MTS) (LnsMtsSvc) - Echelon Corporation - C:\Lon\LonWorks\bin\LnsMtsSvc.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 7140 bytes |
|
18.08.2008, 10:05
| #4 | |
| /// AVZ-Toolkit Guru | Virtumonde! Bitte um Hilfe.Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
18.08.2008, 20:12
| #5 |
| | Virtumonde! Bitte um Hilfe. C:\Lon\LonWorks\bin\LnsMtsSvc.exe Code:
ATTFilter Datei LnsMtsSvc.exe empfangen 2008.08.18 13:00:29 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 57400 bytes
MD5...: 00ae40f0ddfdd769934563902652d97a
SHA1..: fc158498180d6ec40d607239037e1ee904846ad0
SHA256: a14f5b7b9eaaee49c1d66431f7cac111f86549ba201a0fbaf3d590a7f2e7127a
SHA512: f761892979f8cf534b460dc701dcf746e975a5861a18c0182015af976d59f394
8820d39dde58dd10d3b9674288379b5c942b47bda878a0fc935ad03f8d457a13
PEiD..: Armadillo v1.71
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x404678
timedatestamp.....: 0x446b7221 (Wed May 17 18:57:37 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x396a 0x4000 5.85 86a028a8fb2358afcd7611245f3235ad
.rdata 0x5000 0x2050 0x3000 4.40 951d1f09f927ef72c1cae305b3842feb
.data 0x8000 0x84c 0x1000 1.85 e110c18322ba0389851d01a8836e0f76
.rsrc 0x9000 0x4228 0x5000 3.02 0fae66ea913674a43acabdbc2628ca34
( 6 imports )
> KERNEL32.dll: FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, lstrcpynA, WideCharToMultiByte, InitializeCriticalSection, LoadLibraryA, lstrcpyA, lstrcatA, GetCurrentThread, GetShortPathNameA, MultiByteToWideChar, lstrlenW, GetVersion, LocalFree, ReadFile, GetCurrentProcess, OpenProcess, CreateJobObjectA, DuplicateHandle, CreateFileMappingA, CreateWaitableTimerA, CreateSemaphoreA, CreateMutexA, WriteFile, FlushFileBuffers, DisconnectNamedPipe, SetLastError, CreateNamedPipeA, ConnectNamedPipe, CloseHandle, InterlockedDecrement, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, lstrlenA, GetCommandLineA, lstrcmpiA, GetLastError, GetCurrentThreadId, CreateEventA, CreateThread, SetEvent, WaitForSingleObject, TerminateThread, IsDBCSLeadByte, GetStartupInfoA
> USER32.dll: LoadStringA, MessageBoxA, GetMessageA, DispatchMessageA, PostThreadMessageA, CharNextA
> ADVAPI32.dll: ControlService, RegQueryInfoKeyA, RegEnumKeyExA, RegCreateKeyExA, RegDeleteKeyA, RegOpenKeyExA, OpenProcessToken, LookupPrivilegeValueA, PrivilegeCheck, ConvertStringSecurityDescriptorToSecurityDescriptorA, MakeAbsoluteSD, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, StartServiceCtrlDispatcherA, DeleteService, CreateServiceA, RegDeleteValueA, RegSetValueExA, RegCloseKey, RegQueryValueExA, SetServiceStatus, RegisterServiceCtrlHandlerA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenSCManagerA, OpenServiceA, CloseServiceHandle, CopySid, GetLengthSid, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, OpenThreadToken, GetTokenInformation, RegEnumValueA
> ole32.dll: CoInitialize, CoInitializeSecurity, CoUninitialize, CoTaskMemFree, CoTaskMemRealloc, CoRegisterClassObject, CoRevokeClassObject, CoCreateInstance, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -
> MSVCRT.dll: _onexit, __dllonexit, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _terminate@@YAXXZ, _except_handler3, memcmp, __2@YAPAXI@Z, realloc, malloc, free, puts, vsprintf, __CxxFrameHandler, memcpy, memset, _strnicmp, strlen, strrchr, strncmp
( 0 exports )
Code:
ATTFilter Datei LdvxBroker.exe empfangen 2008.08.18 13:04:38 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 61498 bytes
MD5...: c57bd3ab5d64fd45a159a1f83bd7df43
SHA1..: 66a65f010b2af36c5b79c5aa9a260fa023e074cb
SHA256: befe85ffa88717ec3596dffb84928e7ccb85ff1ca3158f508f0b14c563536d97
SHA512: eb13d095d157960c4c33aaaf51a882bca42f962c8ee3b2775ce9180682139385
b96d6aa171b57e9f87467c5d254e5529f0e5449c49d614635545b4c7886ac3a2
PEiD..: Armadillo v1.71
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40537e
timedatestamp.....: 0x446b7366 (Wed May 17 19:03:02 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47c7 0x5000 5.98 50bb8a3f2de505ea6c8d33286d905708
.rdata 0x6000 0x2b02 0x3000 5.30 f1d2b46d3cb6a0bf13f71ea8f9b0a48f
.data 0x9000 0xe5c 0x1000 3.90 b36dab220161a2507eec5d8baa532a0e
.rsrc 0xa000 0x4480 0x5000 3.17 c7912581c5c86fe1825f4e8d7b05c015
( 9 imports )
> LnsMtsShim.dll: CreateMutexA
> LdvxManager.dll: __0xManager@@QAE@_N@Z, __1xManager@@QAE@XZ
> LdvxLog.dll: _Open@xLog@@QAEXPBD@Z, _CreateSubKey@xRegistry@@QAEJPBDPAK@Z, _SetField@xRegistry@@QBEJPBDHK@Z, _DeleteField@xRegistry@@QBEJPBD@Z, _SetField@xRegistry@@QBEJPBD0@Z, _TraceEventV@xLog@@QBEXGJPAD@Z, _LogEventV@xLog@@QBEXGJPAD@Z, _GetDefaultLog@xLog@@SAPAV1@XZ, __1xRegistry@@QAE@XZ, _GetField@xRegistry@@QBEJPBDAA_N@Z, __0xRegistry@@QAE@PAUHKEY__@@PBD@Z, _LdvxTrace2@xLog@@QBAXGW4LdvxType@@PBDZZ, _c_sLonWorksPath@@3V_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@_STL@@@_STL@@B, _GetField@xRegistry@@QBEJPBDAAH@Z, _c_szxDriverKey@@3QBDB, _OpenSubKey@xRegistry@@QAEJPBDPAUHKEY__@@@Z, _SetTraceLevel@xLog@@QAEXE@Z, _SetTraceTypes@xLog@@QAEXW4LdvxTraceTypes@@@Z, _SetTraceCategories@xLog@@QAEXW4LdvxTraceCategories@@@Z, _SetTraceOptions@xLog@@QAEXW4LdvxTraceOptions@@@Z, _Close@xLog@@QAEXXZ, _FieldExists@xRegistry@@QBE_NPBD@Z, __BxRegistry@@QBEPAUHKEY__@@XZ
> USER32.dll: SendMessageA, ShowWindow, GetMessageA, IsWindow, IsDialogMessageA, DispatchMessageA, DestroyWindow, PostThreadMessageA, CharNextA, MessageBoxA, CreateDialogParamA, SetDlgItemTextA, GetWindowRect, UpdateWindow, LoadIconA, LoadStringA, GetDlgItem, EnableWindow, MoveWindow, SetWindowLongA
> ole32.dll: CoUninitialize, CoInitializeSecurity, CoInitializeEx, CoInitialize, CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, CoRegisterClassObject, CoRevokeClassObject, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -
> KERNEL32.dll: WideCharToMultiByte, FlushInstructionCache, GetCurrentThread, EnterCriticalSection, LeaveCriticalSection, lstrcatA, lstrcpyA, LoadLibraryA, DeleteCriticalSection, HeapDestroy, InitializeCriticalSection, IsDBCSLeadByte, lstrcpynA, LoadLibraryExA, FindResourceA, LoadResource, SizeofResource, FreeLibrary, GetStartupInfoA, GetShortPathNameA, lstrlenW, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, lstrlenA, MultiByteToWideChar, lstrcmpiA, GetCommandLineA, GetCurrentProcessId, OpenProcess, GetLastError, CloseHandle, GetCurrentThreadId, GetCurrentProcess, SetProcessWorkingSetSize, InterlockedDecrement
> ADVAPI32.dll: RegOpenKeyExA, GetTokenInformation, OpenThreadToken, OpenProcessToken, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, GetLengthSid, CopySid, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegEnumValueA, RegQueryInfoKeyA, RegSetValueExA, RegEnumKeyExA, CloseServiceHandle, RegCloseKey, RegDeleteValueA, RegCreateKeyExA, RegDeleteKeyA, StartServiceCtrlDispatcherA, ControlService, DeleteService, CreateServiceA, GetUserNameA, SetSecurityInfo, SetServiceStatus, RegisterServiceCtrlHandlerA, OpenSCManagerA, OpenServiceA
> MSVCRT.dll: memmove, _onexit, __dllonexit, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __1type_info@@UAE@XZ, _terminate@@YAXXZ, _except_handler3, _itoa, strlen, __1exception@@UAE@XZ, __0exception@@QAE@XZ, strncpy, __0exception@@QAE@ABV0@@Z, _CxxThrowException, memcmp, memset, realloc, malloc, free, memcpy, __CxxFrameHandler, __2@YAPAXI@Z, _ultoa
( 0 exports )
Code:
ATTFilter Datei install.dat empfangen 2008.08.18 13:06:24 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 164 bytes
MD5...: 221459272704441f4bebf6f4fb8c83bc
SHA1..: dcbb8382b541978935b3e5cbd85ce344ba0f5cd1
SHA256: 74ca6f8e4574c7eb657736350963307edda2236d8b8b42644a2e0901efa44fc8
SHA512: 0d6559ddf464f90f0d4d0b1023e9a1c1b6fd231bb3fd675bd4e2a9b881a7edf7
2c0203833eecef436bac3e9a7d2006eaeb19e6fe12260dfbb5a6671f836247b4
PEiD..: -
PEInfo: -
Code:
ATTFilter Datei UNINST16.EXE empfangen 2008.08.18 13:15:09 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 247648 bytes
MD5...: e54fc2077196ba40d53742d2446c6a03
SHA1..: a7608956cd9d0713f8a33618656582cbd2e8ea85
SHA256: 250f18a7113e5eb745721cdb0de7196756b019b64674b830af6bdc368dc55f89
SHA512: ac156d55e7366f34a83625842b8a88bf8cbb1c3f1b05dd2d69b02bbb7f251555
4f4983111aa3bdc0d2bcece61cd1d190e677eeb061645e3c1c093377fd0ed0ab
PEiD..: -
PEInfo: -
Code:
ATTFilter Datei lhtjkiyb.exe empfangen 2008.08.18 13:19:32 (CET)
Status: Beendet
Ergebnis: 9/36 (25%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 MemScan:Trojan.FakeAlert.UM
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 Trojan-Downloader.Win32.Renos.AQ
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 TrojanDownloader:Win32/Renos.gen!AS
NOD32v2 3364 2008.08.18 a variant of Win32/TrojanDownloader.FakeAlert.GG
Norman 5.80.02 2008.08.15 Smalltroj.gen22
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 Malicious Software
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 Mal/EncPk-CZ
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 130048 bytes
MD5...: 588cbbcbd6852f8ab9be55a23f7a82e4
SHA1..: a2a8271f08bea75975ac2e91524ede31af3db705
SHA256: 3780edce32ace015f7e7792d1548a515ad4d5af31cea22fb707beef461ca8c81
SHA512: a00b7d00d74bb61a5b24c7e511936a7fb0c99484b3d2f239af5ff9c21006cb64
94616acd217bb23fa384497536353472e3ee90d78892994dc148ca12c9a60651
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x403521
timedatestamp.....: 0x48a1df24 (Tue Aug 12 19:06:12 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x338a0 0x2600 6.43 6a159282c9d445e6b3ebfb802b668218
.rdata 0x35000 0x1b7ac 0x1ac00 8.00 548d2168bf8b64f3a5976672c136329a
.rsrc 0x51000 0x1000 0x600 7.30 f4fec41480babaab2533552314c5d691
( 0 imports )
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DBF8033000DBC430FC8901D54930FE00F0FEA9AE
|
|
18.08.2008, 20:32
| #6 |
| | Virtumonde! Bitte um Hilfe. C:\WINDOWS\QTFont.qfn Code:
ATTFilter Datei QTFont.qfn empfangen 2008.08.18 13:27:04 (CET)
Status: Beendet
Ergebnis: 0/35 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 54156 bytes
MD5...: dba91cd5a3a68302967c03213e52bde8
SHA1..: 8188a5832590c810b08ee3a2f1567afcdd094108
SHA256: 1a355634a47a01ce03e05328c2835a86926818bacdcb663db2136d691319dd18
SHA512: c1afd1304fca65d1bd39a43fad5dc7a6c8528c225a019012163dde2948b82455
c2616e27db2c03c03ac85e5c7dff77286688aea75b2355e5dce3c71c78526f94
PEiD..: -
PEInfo: -
C:\WINDOWS\QTFont.for Code:
ATTFilter Datei QTFont.for empfangen 2008.08.18 13:39:12 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 1409 bytes
MD5...: e1034d757709f37f2d1ebd96d5ead02b
SHA1..: fd71bd173744917d950ab434fd97e0e3f92d824f
SHA256: a6322c6f5bd745287666c045c3bff2861461a1752c50a2869f343d46f97fda82
SHA512: aa9554d159a876b3f5a57e661a4164b5a9e450b7de441e5df75bc0d64aa59c90
e40d57985ff12e2766ad42eadadca8c06b9bb209cb64b99b051edae571cbcd8e
PEiD..: -
PEInfo: -
Code:
ATTFilter Datei ezpinst.exe empfangen 2008.08.18 14:18:07 (CET)
Status: Beendet
Ergebnis: 0/35 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 87608 bytes
MD5...: 254fbca565e049648b0cce2ceadf05d2
SHA1..: f5c6d09fcd7df2f8efd51c2bcf7ef0702686071c
SHA256: c74d2fa6374b5f1e251e3205de0efe99ed026b8b7a0ad5ee549ee3700f8e63d7
SHA512: 9f587078ac71165f4b862f59ffa9279c92d3c84c19080b9f71d3c3a54964a5e0
a8a55d160f7fee7d505ccb41afea9f8720a475de2de50219037a435ccbc55709
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x402277
timedatestamp.....: 0x44a114a2 (Tue Jun 27 11:21:06 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc1d4 0xd000 6.39 8b23740868f02bb731a1556e3e89ec4b
.rdata 0xe000 0x25c2 0x3000 4.48 1c4aa9b67a1e4fb62d587545d74e9148
.data 0x11000 0x2e48 0x2000 1.28 e79d5ce42e7132af5b6039889e4670ab
.rsrc 0x14000 0xb0 0x1000 3.06 cec9b95146f57b35474dc9da6c445146
( 6 imports )
> newdev.dll: UpdateDriverForPlugAndPlayDevicesW
> SETUPAPI.dll: SetupDiRemoveDevice, SetupDiCallClassInstaller, SetupDiSetDeviceRegistryPropertyW, SetupDiCreateDeviceInfoW, SetupDiCreateDeviceInfoList, SetupDiGetDeviceRegistryPropertyW, SetupDiOpenDeviceInfoW
> KERNEL32.dll: HeapSize, ReadFile, SetEndOfFile, WriteConsoleW, CreateFileA, FormatMessageW, GetLastError, CloseHandle, GetCurrentProcess, GetPrivateProfileStringW, MultiByteToWideChar, LocalFree, GetModuleFileNameA, GetConsoleOutputCP, WriteConsoleA, LoadLibraryA, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, GetProcAddress, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, ExitProcess, WriteFile, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, Sleep, CreateFileW, InitializeCriticalSection, SetFilePointer, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA
> ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken
> SHELL32.dll: SHGetFolderPathW
> ole32.dll: CLSIDFromString
( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=254fbca565e049648b0cce2ceadf05d2
Code:
ATTFilter Datei GDIPFONTCACHEV1.DAT empfangen 2008.08.18 15:26:18 (CET)
Status: Beendet
Ergebnis: 0/35 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.18 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.18 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 29664 bytes
MD5...: 73d946d3da69fb44a9e50e9fed36693c
SHA1..: e9196541e9a1920fd94b1f78652515d87ca6c0c0
SHA256: 3dc44548852e339f0981861ec09db0c2ead60f914528d06de04e483493ab285f
SHA512: 1863e036441bc4380e7335a5fac8d7fbaaeac0e95795fa51045972b682f351d3
64aa8a5cf1eb28d53a258e3d46817959a72357c646ce5b61a08601485e727a8d
PEiD..: -
PEInfo: -
Code:
ATTFilter Datei ezplay.sys empfangen 2008.08.18 15:56:35 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.18 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.18 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3365 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.18 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 94080 bytes
MD5...: 96dad6e55739d96a6b24d26fa077dad8
SHA1..: b403cb2af4da102cbc0675be50b40952209b485d
SHA256: bc4373105b49649b0852dda0e15e3fc4694e2f34b1489e6028ec0a269bd0aa26
SHA512: 6ee8805a3b4c2aa17f4321afb99fa810a6e6662e03969c9b89135dc68eca8557
f1513acd49892b4bc8a5854fb395fd454a22d467f4926164267e3494fbf2dcbe
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x25f85
timedatestamp.....: 0x44c7a3e5 (Wed Jul 26 17:18:29 2006)
machinetype.......: 0x14c (I386)
( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x6eb2 0x6f00 6.72 eca58d3930729c2a2e8c3d34a18e1e0f
.rdata 0x7380 0x9d68 0x9d80 7.88 4eabd12fdfb6d3aa3ca0218f9017c306
.data 0x11100 0x2ca0 0x2d00 4.77 5b8c0ba3eda9f8666e9a3ada006e8fd8
PAGE 0x13e00 0x211c 0x2180 6.47 7bd3001557d696a80b99e75446981f64
INIT 0x15f80 0x5e2 0x600 5.22 599be9c200a76cf42e569b0e79db980d
.rsrc 0x16580 0x3a0 0x400 2.97 a9eb8fcf905bca53a22c44dbf84c86d8
.reloc 0x16980 0x582 0x600 5.09 31d9dce5ab63244d236a67934affe8b2
( 2 imports )
> NTOSKRNL.EXE: PoSetPowerState, ZwClose, ZwSetValueKey, RtlInitUnicodeString, IoOpenDeviceRegistryKey, IoRegisterDeviceInterface, IoDeleteDevice, IoDetachDevice, IoAttachDeviceToDeviceStack, IoInitializeRemoveLockEx, IoCreateDevice, IofCompleteRequest, KeSetEvent, IoSetDeviceInterfaceState, IofCallDriver, KeTickCount, RtlCopyUnicodeString, KeWaitForSingleObject, KeInitializeEvent, RtlFreeUnicodeString, ObfDereferenceObject, RtlCompareUnicodeString, wcslen, IoBuildSynchronousFsdRequest, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, IoRegisterPlugPlayNotification, IoReleaseRemoveLockEx, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, IoAcquireRemoveLockEx, IoReleaseRemoveLockAndWaitEx, PoCallDriver, PoStartNextPowerIrp, PoRequestPowerIrp, InterlockedIncrement, InterlockedDecrement, IoStopTimer, RtlCompareMemory, ExFreePool, IoUnregisterPlugPlayNotification, KeDelayExecutionThread, MmMapLockedPagesSpecifyCache, IoStartTimer, IoInitializeTimer, KeBugCheckEx, ExAllocatePoolWithTag, RtlUnwind
> HAL.DLL: KeStallExecutionProcessor, KeQueryPerformanceCounter
( 0 exports )
Code:
ATTFilter Datei pcouffin.sys empfangen 2008.08.18 16:03:28 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.18 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.18 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3365 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.18 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 47360 bytes
MD5...: 5b6c11de7e839c05248ced8825470fef
SHA1..: 758bb61031fa1ecf5879f533d8a36da290cf8594
SHA256: db57dfd02c18461b1b383df759730ffee9c7fa8577e1679fd4740a590303ee79
SHA512: e328a96babf557dc7cdbe3dfb536e15f120c44ebdce773d1870feb948e7bd4fb
e5711ba0fcac71d5313b0eadcc3b59df92e6a22ba8c10a6a68d62defe0c2a0ff
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1a317
timedatestamp.....: 0x457584b9 (Tue Dec 05 14:39:53 2006)
machinetype.......: 0x14c (I386)
( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x500 0x7f7d 0x7f80 6.39 7895a1662f97aca3c79eaae1f9786c2d
.rdata 0x8480 0x5e8 0x600 4.70 08a07dc52d855279c96b30a258536bc8
.data 0x8a80 0x849 0x880 0.46 cf14ff353ef58823b9cf10600f5102a2
.CRT 0x9300 0xc 0x80 0.20 1723c987548a2a0b4a9ff406a7d201c4
.STL 0x9380 0x10 0x80 0.00 f09f35a5637839458e462e6350ecbce4
PAGE 0x9400 0xbb7 0xc00 6.03 9044c521086fa34d40d828b90a54643e
INIT 0xa000 0xb46 0xb80 5.85 7cebab36c24f35ca6ab7df35f6c004d5
.rsrc 0xab80 0x418 0x480 3.05 0cb805e7cacb0c9cfbdc15648673649d
.reloc 0xb000 0x8bc 0x900 5.50 3dd52ae9cba93d5e001af1b9d00b8a03
( 2 imports )
> NTOSKRNL.EXE: KeInitializeSpinLock, RtlInitUnicodeString, KefAcquireSpinLockAtDpcLevel, PoSetPowerState, KefReleaseSpinLockFromDpcLevel, PoStartNextPowerIrp, IoAllocateMdl, IoFreeMdl, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, MmUnlockPages, ZwClose, IoInitializeTimer, IoStartTimer, IoStopTimer, IoFreeWorkItem, IofCompleteRequest, PoCallDriver, IofCallDriver, InterlockedIncrement, ExFreePool, IoUnregisterPlugPlayNotification, KeWaitForSingleObject, IoBuildSynchronousFsdRequest, KeInitializeEvent, KeSetEvent, IoBuildDeviceIoControlRequest, ObfDereferenceObject, InterlockedDecrement, IoFreeIrp, wcscpy, IoGetDeviceObjectPointer, KeTickCount, MmBuildMdlForNonPagedPool, IoAllocateIrp, ObReferenceObjectByHandle, ExEventObjectType, RtlCompareUnicodeString, KeQueryTimeIncrement, IoReuseIrp, sprintf, IoRegisterPlugPlayNotification, IoQueueWorkItem, IoAllocateWorkItem, RtlCopyUnicodeString, wcslen, KeBugCheckEx, ExAllocatePoolWithTag, RtlUnwind, RtlAppendUnicodeStringToString, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoCreateDevice, RtlIntegerToUnicodeString, memmove, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, InterlockedExchange, KeClearEvent, KeReleaseMutex, IoDetachDevice, IoCancelIrp, RtlFreeUnicodeString, PoRequestPowerIrp, IoRegisterDeviceInterface, IoSetDeviceInterfaceState, KeInitializeMutex, KeRemoveEntryDeviceQueue
> HAL.DLL: KeQueryPerformanceCounter, KeGetCurrentIrql, KfReleaseSpinLock, KfAcquireSpinLock
( 0 exports )
|
|
18.08.2008, 22:44
| #7 |
| /// AVZ-Toolkit Guru | Virtumonde! Bitte um Hilfe. Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\lhtjkiyb.exe
Mache danach noch scans mit Anti-Malware und SUPERAntiSpyware und poste die logs.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
19.08.2008, 13:07
| #8 |
| | Virtumonde! Bitte um Hilfe. Anti-Malware-Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 2
13:09:53 19.08.2008
mbam-log-08-19-2008 (13-09-53).txt
Scan-Methode: Vollständiger Scan (C:\|K:\|)
Durchsuchte Objekte: 244922
Laufzeit: 5 hour(s), 21 minute(s), 13 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 08/19/2008 at 02:01 PM
Application Version : 4.15.1000
Core Rules Database Version : 3540
Trace Rules Database Version: 1529
Scan type : Complete Scan
Total Scan Time : 00:49:39
Memory items scanned : 533
Memory threats detected : 0
Registry items scanned : 6041
Registry threats detected : 0
File items scanned : 79697
File threats detected : 21
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.quartermedia[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.easyad[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.heias[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.etracker[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@1071723130[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@myhammer.122.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@conrad[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@1070887288[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@conrad-ch2[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@1066186035[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@indextools[2].txt
Trojan.Unclassified/Dropper
C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AUTORADIOS\EC 4200 RDS CARBASE\ARCHIV\CARRADIODECODINGSET\EPROMDUMPS\CARRADIODECODE\RADIA\MOTOROLA\MOTO411.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AUTORADIOS\EC 4200 RDS CARBASE\ARCHIV\CARRADIODECODINGSET\EPROMDUMPS\CARRADIODECODE\PROGRAMY\MOTOROLA\MOTO411.EXE
Trojan.Unclassified/Loader-Suspicious
C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AXEL\4355\FULL_UPD\LOADER.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AXEL\4355\RESTORE\LOADER.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AXEL\4355\UPDATE\LOADER.EXE
|
|
19.08.2008, 13:56
| #9 |
| /// AVZ-Toolkit Guru | Virtumonde! Bitte um Hilfe. Das sieht ja schonmal ganz gut aus. Poste bitte noch das Avenger log!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
19.08.2008, 14:17
| #10 |
| | Virtumonde! Bitte um Hilfe. Und hier ist Avenger-Log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\lhtjkiyb.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
|
|
19.08.2008, 15:14
| #11 |
| /// AVZ-Toolkit Guru | Virtumonde! Bitte um Hilfe. Gut, was für eine AntiViren Lösung nutzt du eigentlich?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
20.08.2008, 06:19
| #12 |
| | Virtumonde! Bitte um Hilfe. Ich nutze McAfee VirusScan Enterprise 8.0.0 |
|
20.08.2008, 08:20
| #13 |
| /// AVZ-Toolkit Guru | Virtumonde! Bitte um Hilfe. Dann mache damit am besten noch einen Vollscan.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu Virtumonde! Bitte um Hilfe. |
| adobe, antivirus, avg, bitte um hilfe, bluescree, browser, canon, entfernen, error, excel, explorer, extern, google, hijackthis, hilfe!!, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, object, programme, rundll, server, software, stick, system, system neu, trojan agent, trojan.gen, virtumonde, webroot, windows, windows xp |
Linear-Darstellung
