hallo,

war gerade im urlaub und habe nach meiner rückkehr einen irgendwie "spinnenden" rechner vorgefunden. die tastatur ging nicht mehr zur eingabe im internet, auch nicht bei word etc. (hat sich vorläufig erledigt, nach dem ich firefox deinstalliert und neuinstalliert habe, nach einer gewissen eingrenzung des problembereichs. die alte einfache schnell-lösung. komisch, aber immerhin effektiv)

bei einem durchlauf von avira nun ein virenfund, siehe titel: WORM/Small.I.2

habe schon mal bißchengegoogelt und gefunden, daß es irgendwie mit einem mp3-player zusammenhängen kann.

(ich hatte hier zur urlaubsbetreuung meiner pflanzen und tiere einen bekannten. der hat mich ganz treudoof angeguckt, als er mir erzählte, daß mein rechner nicht in ordnung ist. bevor ich wegfuhr, war er aber noch tadellos in ordnung)

so, und nun die frage: kann mir jemand genaueres zu diesem "worm" sagen? ich habe normalerweise keine viren auf dem rechner und bin da auch ganz vorsichtig, so daß ich leider nicht zu denen gehöre, die sich mit dem ganzen geviech auskennen.
bitte also um auch für mich verständliche tipps. muß ich ihn löschen? hab nur die wahl vorgegeben von avira zwischen löschen und ignorieren. in quarantäne verschieben in dem falle nicht.

besten dank für die tipps schon mal vorneweg.

gruß

von mir selbst :-)

ach so, kleines ps hinterher: die datei selbst heißt "inetsrv.exe". (hört sich nicht grad vertrauenerweckend an, finde ich) habe ich auch im internet gefunden. gab das problem schon mal, eben im zusammenhang mit mp3-player. konnte es nicht entschlüsseln, was da gemeint war. war 1. englisch und 2. computerenglisch mit spezialisierung auf viren- und trojaner-fachchinesisch. da bin ich nicht schlau draus geworden. darum hier meine frage.

Hi,

das kann heiter werden, es kann u. U. ein Trojaner mit Backdoorfunktionalität sein...

Bitte HJ-Log gemäß den Boardregeln (siehe Signatur) und gleich noch combofix
posten (wegen der Infos):

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

so, hier nun der logfile von hijack.

beim virenscan wurde übrigens ersichtlich, daß derselbe sich 3 mal auf meinem rechner "breit gemacht" hat. hab mir die "standorte" aufgeschrieben. konnten nicht in quarantäne verschoben werden.

noch ein anderer "böser wicht" ist ebenfalls 3 mal vertreten, ebenfalls nicht in quarantäne verschiebbar. name: BDS/Bifrose.PG.3 alias BKDR_Bifrose.IA etc. beim googeln habe ich zumindest herausgefunden, daß es ein backdoor-programm ist. und daß es als nicht gefährlich eingestuft wird.

hier nun der log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:42, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\inetsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Antiviren\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [inetsrv] C:\WINDOWS\system32\inetsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02230634-9528-4A6A-8082-852F32CCD5F1}: NameServer = 213.191.92.87 62.109.123.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{02230634-9528-4A6A-8082-852F32CCD5F1}: NameServer = 213.191.92.87 62.109.123.6
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4150 bytes


in kürze dann dasselbe von combofix

gruß von mir selbst (etwas im schwitzen wegen der geschichte)

hier nun das ergebnis von combofix. hoffe, das kann entziffert werden:

ComboFix 08-08-17.03 - ICH 2008-08-18 15:56:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.203 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ICH\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Driveinfo.exe
C:\WINDOWS\system32\Driveinfo.log
C:\WINDOWS\system32\inetsrv.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-18 bis 2008-08-18 ))))))))))))))))))))))))))))))
.

2008-08-18 15:06 . 2008-08-18 15:06 <DIR> d-------- C:\Programme\Antiviren
2008-08-17 22:39 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-08-17 22:39 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-08-17 22:39 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-08-17 22:39 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-19 16:25 --------- d-----w C:\Programme\Java
2008-07-16 10:16 --------- d-----w C:\Programme\Konverter
2008-07-16 10:11 --------- d-----w C:\Programme\Gemeinsame Dateien\XPressUpdate
2008-05-16 16:19 14,852 ----a-w C:\Programme\settings.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 16:51 36864]
"TomcatStartup"="C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2002-12-03 13:21 143360]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-04 00:58 381440 C:\WINDOWS\system32\irprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=

S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Nodfix - C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\ICH\Anwendungsdaten\Mozilla\Firefox\Profiles\kex3mbi7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gmx.net/


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 15:57:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...


Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-18 15:59:34
ComboFix-quarantined-files.txt 2008-08-18 13:59:28

Pre-Run: 6 Verzeichnis(se), 34,739,904,512 Bytes frei
Post-Run: 8 Verzeichnis(se), 34,936,758,272 Bytes frei

76

Bitte folgende Files prüfen:

Zitat:

C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also, wenn Nodfix nicht erkannt wurde, bei "Delete File" rauslöschen!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|inetsrv
 
Files to delete:
C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen (nur wenn Nodfix erkannt wurde!:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
         

Anschließend bitte MAM downloaden, updaten, neu booten und alles Laufwerke durchsuchen und bereinigen lassen:
Malwarebytes Antimalware.
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/showthread.php?t=54192


Chris

puh, danke für die ganze mühe erst mal.

es ist eine ganze menge,w as ich jetzt tun muß. werd mich mal ranmachen an die sache.

ganz und gar alle verstanden habe ich noch nicht. kann ich evtl. nachfragen wenn ich nicht weiterkomme? (vor allem all die dinge, die mit "code" beginnen, verstehe ich nicht. bin kein programmierer, kein it-spezialist, kenne keine programmiersprache. - weiß ich, sollte ich inzwischen etwas lernen. aber woher soll ich die zeit dafür auch noch nehmen?)

also, ich mach mich mal an die arbeit. bei bedarf meld ich mich zurück

p.s. ich habe nur heute zeit dafür. morgen muß ich weiter fahren. ich hoffe, das alles zu schaffen.

gruß

von ichselbst

hier erst einmal das ergebnis von virustotal über ndfix.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 Win-Trojan/Bifrose.90924
AntiVir 7.8.1.19 2008.08.18 BDS/Bifrose.PG.3
Authentium 5.1.0.4 2008.08.18 W32/BifrostP.D
Avast 4.8.1195.0 2008.08.18 Win32:Bifrose-IK
AVG 8.0.0.161 2008.08.18 BackDoor.Generic3.DL
BitDefender 7.2 2008.08.18 Trojan.Inject.FA
CAT-QuickHeal 9.50 2008.08.18 Backdoor.Bifrose.yg
ClamAV 0.93.1 2008.08.18 Trojan.Bifrose-846
DrWeb 4.44.0.09170 2008.08.18 BackDoor.Bifrost.24
eSafe 7.0.17.0 2008.08.18 Win32.Bifrose.yg
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 Backdoor.Bifrose.pg
F-Prot 4.4.4.56 2008.08.18 W32/BifrostP.D
F-Secure 7.60.13501.0 2008.08.18 Backdoor.Win32.Bifrose.yg
Fortinet 3.14.0.0 2008.08.18 W32/Bifrose.PG!tr.bdr
GData 2.0.7306.1023 2008.08.18 Backdoor.Win32.Bifrose.yg
Ikarus T3.1.1.34.0 2008.08.18 Backdoor.Win32.Bifrose.pg
K7AntiVirus 7.10.417 2008.08.18 Backdoor.Win32.Bifrose.yg
Kaspersky 7.0.0.125 2008.08.18 Backdoor.Win32.Bifrose.yg
McAfee 5362 2008.08.15 Generic.dl
Microsoft 1.3807 2008.08.18 Backdoor:Win32/Bifrose
NOD32v2 3365 2008.08.18 Win32/Bifrose.PG
Norman 5.80.02 2008.08.18 W32/Bifrose.CCY
Panda 9.0.0.4 2008.08.17 Bck/Bifrose.NW
PCTools 4.4.2.0 2008.08.18 Backdoor.Bifrost.XP
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 Backdoor.Bifrose.ade
Sophos 4.32.0 2008.08.18 Mal/Bifrose-I
Sunbelt 3.1.1546.1 2008.08.15 Trojan.Unclassified.gen
Symantec 10 2008.08.18 Trojan Horse
TheHacker 6.3.0.5.053 2008.08.18 Backdoor/Bifrose.yg
TrendMicro 8.700.0.1004 2008.08.18 BKDR_BIFROSE.IA
VBA32 3.12.8.3 2008.08.18 Backdoor.Win32.Bifrose.pg
ViRobot 2008.8.18.1339 2008.08.18 Backdoor.Win32.Bifrose.90924
VirusBuster 4.5.11.0 2008.08.18 Backdoor.Bifrost.XP
Webwasher-Gateway 6.6.2 2008.08.18 Trojan.Backdoor.Bifrose.PG.3
weitere Informationen
File size: 90924 bytes
MD5...: e01972a9980670054b127320418e40c0
SHA1..: 47803661a83641949016117f445d892e18fa1173
SHA256: 6ad091a28a9ba3b8d36ec2f55d9739c8d66d0d4802ff5f5fb7fd1286d3f3382a
SHA512: 5bd33866f5d20555be667052a7c0c19a9d4e3f734c172dbff8837c9f1466c3a4
8fbb867e36c1d0d59f7d24ac996be85b7b44a0867c67711d8a60e96cb706eee4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401010
timedatestamp.....: 0x4414e15a (Mon Mar 13 03:04:58 2006)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8d88 0x8e00 7.99 9612b1fa644aac5a8b2ff44b30725c97
.idata 0xa000 0x6ec 0x800 4.22 252fa9ebcbff2a90237a60747e13dfb8

( 5 imports )
> KERNEL32.DLL: ReadProcessMemory, lstrcpyA, CreateProcessA, lstrcatA, GetWindowsDirectoryA, DuplicateHandle, GetCurrentProcess, OpenProcess, Process32Next, Process32First, CreateToolhelp32Snapshot, GetVersionExA, GetComputerNameA, lstrcmpA, CopyFileA, DeleteFileA, SetFileAttributesA, VirtualProtectEx, lstrlenA, GetSystemDirectoryA, GetFileSize, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, ExitProcess, GetStartupInfoA, GetCommandLineA, HeapAlloc, GetProcessHeap, CreateRemoteThread, SetLastError, GetCurrentProcessId, VirtualFree, WriteProcessMemory, Sleep, GetModuleHandleA, GetProcAddress, WaitForSingleObject, WriteFile, CloseHandle, VirtualAlloc, GetPriorityClass, ResumeThread, GetTempPathA, GetFileTime, SetFileTime
> ADVAPI32.DLL: RegOpenKeyExA, RegCloseKey, RegCreateKeyExA, RegQueryValueExA, GetUserNameA, RegSetValueExA
> MSVCRT.DLL: _strrev, strrchr, strncpy, strchr, atoi, free, malloc, _strnicmp, _stricmp
> SHLWAPI.DLL: SHDeleteKeyA
> USER32.DLL: FindWindowA, GetWindowThreadProcessId, wsprintfA

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=e01972a9980670054b127320418e40c0

hoffe, das war hilfreich?

jetzt weiter im text mit avenger. hoffe, daß ich das hinbekomme. wenn nicht, frage ich noch mal nach.

gruß von

ich selbst

Hoi,
ich nehm mir mal das Recht, mich einzumischen.
Vergiss das mit dem Avenger, du bist mit einem Backdoor Server der Bifrost-Familie infiziert.

Wer weiß, wer dir den untergejubelt hat, auf jedenfall ist Neuaufsetzen Pflicht und all deine Daten sind als bekannt anzusehen.
Das heißt für dich:

• Rechner schnellstmöglich vom Netz trennen; Datensicherung offline durchführen
• Neuaufsetzen
• Alle Passwörter und Zugangsdaten ändern
• Wenn Onlinebanking, etc. betrieben wird, Bank kontraktieren

mfg