Hallöle. Gut erholt?

Zu dem Internet Problem:

Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Sollte das keine Besserung bringen:

1.) Download WinsockFix.zip.
2.) UnZip WinsockFix.zip
3.) Run WinsockFix.exe
4.) Mache ein Backup der Registry
5.) Click the Fix button


WinsockFix:
http://www.winsockfix.nl/


Und führe Combofix aus...

Hallo,

leider krank zurückgekommen...;-(

Also diese DNS-Einstellungen konnte ich nicht finden. Bin auf die Eigenschaften der genutzten Drahtlosnetzwerkverbindung gegangen und hab dort Doppelklick auf TCP/IP Protocol gemacht. Dort habe ich ja auch die IP Adressen eingegeben, die des PC und des Routers. Es stand zwar vieles zum Thema DNS, aber das richtige konnte ich nicht ausmachen.

Übrigens zeigt dieser andere Rechner hier die gleichen Macken mit dem "hacked by...". ICh nehme an, nach erfolgreicher Beseitigung auf dem einen muss ich es hier nur analog durchführen?! Wenn ich nun das Programm rüberziehe über den Stick, sollte ich Autorun mit Shift unterbinden, oder?

Versuche weiter mein Glück und melde mich wieder....

Webster

So, ich geh langsam kaputt!

Also Winsock hatte beim Backup ein Haufen Fehler gebracht und hatte nach der Ausführung auch keinen Erfolg. Internet geht nach wie vor nicht.

Um Combofix auszuführen wollte ich Norton Security schließen. Jedoch bleibt immer etwas in der Taskleiste was ich nciht wegbekomme. Was mach ich nun???

Norton desintallieren, das removal Tool und CCleaner laufen lassen und diese Seuche nie wieder aufspilen..
Da bist du mit jedem Anderen AV-Prog besser beraten.

So, also was den zweiten Rechner angeht, den konnte ich mit Karl's Anleitung bereinigen. Ich hoffe, es ist damit wirklich erledigt. Hier hab ich die vbs.-Dateien mit dem PC-Namen auch überall finden können, von denen oben geredet wurde. Antivir hab ich hiern un installiert und lass ich gleich noch einmal durchlaufen.
Nun mach ich am anderen Rechner weiter. Also Norton runterschmeißen und CCleaner und anschließend Combofix durchführen.

Kann das meine Internetprobleme beheben? Hab noch kein Netz wieder! *Heul*

Danke soweit!

Webster

Ansonsten melde dich mal im Netzwerk Forum...

Hi,

hier nun mein aktueller Hijachthis-Logfile. Kann man daran was erkennen???

Wird der Combofix-Logfile auch benötigt? Soll ich ihn noch posten?

Wie sollte es nun weitergehen?

Gruß Webster


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:42, on 03.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - hxxp://webcam.varna.bg:8080/VatDec.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203337233
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=20080125-1
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8942 bytes

Poste bitte immer alle Logs!


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Programme\Sceneo\Bonavista\Services\PVR\PVRServ ice.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.ex
C:\WINDOWS\wt\updater\wcmdmgr.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

So Datei 1:

Datei PVRService.exe empfangen 2008.09.04 12:26:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.4.2 2008.09.04 -
AntiVir 7.8.1.28 2008.09.04 -
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.03 -
AVG 8.0.0.161 2008.09.04 -
BitDefender 7.2 2008.09.04 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.04 -
DrWeb 4.44.0.09170 2008.09.04 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6069 2008.09.04 -
Ewido 4.0 2008.09.03 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.04 -
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.04 -
Ikarus T3.1.1.34.0 2008.09.04 -
K7AntiVirus 7.10.439 2008.09.03 -
Kaspersky 7.0.0.125 2008.09.04 -
McAfee 5376 2008.09.03 -
Microsoft 1.3903 2008.09.04 -
NOD32v2 3414 2008.09.04 -
Norman 5.80.02 2008.09.04 -
Panda 9.0.0.4 2008.09.03 -
PCTools 4.4.2.0 2008.09.03 -
Prevx1 V2 2008.09.04 -
Rising 20.60.31.00 2008.09.04 -
Sophos 4.33.0 2008.09.04 -
Sunbelt 3.1.1582.1 2008.09.02 -
Symantec 10 2008.09.04 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.04 -
VBA32 3.12.8.4 2008.09.03 -
ViRobot 2008.9.4.1363 2008.09.04 -
VirusBuster 4.5.11.0 2008.09.03 -
Webwasher-Gateway 6.6.2 2008.09.04 -
weitere Informationen
File size: 1441280 bytes
MD5...: ba8f3289344b8292ce6df3b1d563f5cc
SHA1..: 6d5b402b0a118728e7b06b10583c6b1caeb90e7f
SHA256: 3c166b9766f5a1001c3649a1528705c3eb65bd07fb60776cf459a3a82c9080e2
SHA512: c1c2133836f1dfadf447221c73910c05adbd3455b519f6701bea0922b22ae511
60da5fe6e16f205219aa8a8becf519fe78c5e8000cdb532edd4df184550cdee5
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 7 (50.9%)
Win32 Executable Borland Delphi 5 (34.3%)
Windows OCX File (9.3%)
Win32 EXE PECompact compressed (generic) (3.1%)
Win32 Executable Delphi generic (1.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x533c98
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x132d10 0x132e00 6.57 a4cebad4af24561d2b94ed01246b195b
DATA 0x134000 0x4144 0x4200 5.07 335aa0c482a263cb912bd7d883856ad1
BSS 0x139000 0x1365 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x13b000 0x2f34 0x3000 5.03 d3b3e264378e66adfa4f229503c2104c
.tls 0x13e000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x13f000 0x18 0x200 0.20 21a4228d3f09a27c98cd058067a2c127
.reloc 0x140000 0x13318 0x13400 6.68 ad034d8cb00324155c0cfc8e6438466b
.rsrc 0x154000 0x12400 0x12400 4.17 0c9b17f8a2d29bc5f1b1f91f3114ba39

( 21 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: SetSecurityDescriptorDacl, ReportEventA, RegisterEventSourceA, RegSetValueExA, RegQueryValueExA, RegQueryValueA, RegOpenKeyExA, RegFlushKey, RegCreateKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA, LookupAccountNameW, InitializeSecurityDescriptor, DeregisterEventSource, AdjustTokenPrivileges
> kernel32.dll: lstrcpyA, WritePrivateProfileStringA, WriteFile, WideCharToMultiByte, WaitForSingleObject, WaitForMultipleObjects, VirtualQuery, VirtualAlloc, SystemTimeToFileTime, SuspendThread, Sleep, SizeofResource, SetWaitableTimer, SetThreadPriority, SetThreadLocale, SetPriorityClass, SetNamedPipeHandleState, SetLocalTime, SetLastError, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, RemoveDirectoryA, ReadFile, PeekNamedPipe, OutputDebugStringA, MultiByteToWideChar, MulDiv, MoveFileA, LockResource, LocalFree, LocalFileTimeToFileTime, LoadResource, LoadLibraryA, LeaveCriticalSection, IsValidLocale, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVolumeInformationA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetTempFileNameA, GetSystemInfo, GetSystemDefaultLangID, GetStringTypeExA, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLogicalDrives, GetLocaleInfoW, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesExA, GetFileAttributesA, GetExitCodeThread, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCurrentProcess, GetComputerNameA, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FlushFileBuffers, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumSystemLocalesA, EnumResourceNamesA, EnumCalendarInfoA, EnterCriticalSection, DisconnectNamedPipe, DeleteFileA, DeleteCriticalSection, CreateWaitableTimerA, CreateThread, CreateNamedPipeA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, ConnectNamedPipe, CompareStringW, CompareStringA, CloseHandle, CancelWaitableTimer
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostThreadMessageA, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessageA, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> ole32.dll: CLSIDFromString, CoTaskMemFree, StringFromCLSID
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayPutElement, SafeArrayGetElement, SafeArrayUnaccessData, SafeArrayAccessData, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayRedim, SafeArrayCreate, VariantChangeType, VariantCopyInd, VariantCopy, VariantClear, VariantInit
> ole32.dll: CoTaskMemFree, CLSIDFromProgID, ProgIDFromCLSID, StringFromCLSID, CoCreateInstance, CoRegisterClassObject, CoGetMalloc, CoUninitialize, CoInitialize, IsEqualGUID
> oleaut32.dll: CreateErrorInfo, GetErrorInfo, SetErrorInfo, GetActiveObject, RegisterTypeLib, LoadTypeLib, SafeArrayCopy, SafeArrayUnaccessData, SafeArrayAccessData, SafeArrayGetUBound, SafeArrayDestroy, SafeArrayCreate, SysStringLen, SysFreeString
> advapi32.dll: StartServiceA, StartServiceCtrlDispatcherA, SetServiceStatus, RegisterServiceCtrlHandlerA, QueryServiceStatus, OpenServiceA, OpenSCManagerA, DeleteService, CreateServiceA, CloseServiceHandle
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create
> wininet.dll: InternetReadFile, InternetOpenA, InternetConnectA, InternetCloseHandle, HttpSendRequestA, HttpQueryInfoA, HttpOpenRequestA
> advapi32.dll: ConvertSidToStringSidW
> LZ32.DLL: LZOpenFileA, LZCopy, LZClose
> tvtvRemote.dll: tvtvClearLastError, tvtvGetLastError, tvtvGetJobs, tvtvSetCountry, tvtvSetUser, tvtvSetProxy, tvtvClose, tvtvOpen

( 0 exports )

Datei 2:

Datei ULCDRSvr.exe empfangen 2008.09.04 12:29:05 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.4.2 2008.09.04 -
AntiVir 7.8.1.28 2008.09.04 -
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.03 -
AVG 8.0.0.161 2008.09.04 -
BitDefender 7.2 2008.09.04 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.04 -
DrWeb 4.44.0.09170 2008.09.04 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6069 2008.09.04 -
Ewido 4.0 2008.09.03 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.04 -
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.04 -
Ikarus T3.1.1.34.0 2008.09.04 -
K7AntiVirus 7.10.439 2008.09.03 -
Kaspersky 7.0.0.125 2008.09.04 -
McAfee 5376 2008.09.03 -
Microsoft 1.3903 2008.09.04 -
NOD32v2 3414 2008.09.04 -
Norman 5.80.02 2008.09.04 -
Panda 9.0.0.4 2008.09.03 -
PCTools 4.4.2.0 2008.09.03 -
Prevx1 V2 2008.09.04 -
Rising 20.60.31.00 2008.09.04 -
Sophos 4.33.0 2008.09.04 -
Sunbelt 3.1.1582.1 2008.09.02 -
Symantec 10 2008.09.04 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.04 -
VBA32 3.12.8.4 2008.09.03 -
ViRobot 2008.9.4.1363 2008.09.04 -
VirusBuster 4.5.11.0 2008.09.03 -
Webwasher-Gateway 6.6.2 2008.09.04 -
weitere Informationen
File size: 49152 bytes
MD5...: 332d341d92b933600d41953b08360dfb
SHA1..: 7c4cfd59769ebbd34fab1e8a155020ef08d4faa0
SHA256: 213a5c84abb0d627c05b355084a26a5081645d4ec398ff19ef6bbcb690b10055
SHA512: 50c8db9ed3ffbbb1e9c448c85efcd8372aff621c0c02ff9cc309e97e07bb5a5e
2e5fd0447635e105dfb271be44e4af34b645383a8ddaa85cb9b30df9010895bd
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401bc6
timedatestamp.....: 0x405217bf (Fri Mar 12 20:04:15 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5d3a 0x6000 6.54 c0728f82239d2583e0b9d66b4afd94f8
.rdata 0x7000 0xee8 0x1000 5.15 a36d54704ddeb918d2b62b025f9c3e0e
.data 0x8000 0x460c 0x3000 0.93 7bd9d86357698a646879e7ad849cbedd
.rsrc 0xd000 0x3f0 0x1000 1.03 f11036507eb55563ea24c8d60ea47c59

( 2 imports )
> KERNEL32.dll: Sleep, LocalFree, GetModuleFileNameA, FormatMessageA, GetVersion, SetEvent, CreateEventA, CreateNamedPipeA, ResetEvent, ConnectNamedPipe, GetLastError, WaitForMultipleObjects, ReadFile, OpenProcess, CreateFileA, GetCurrentProcess, DuplicateHandle, CloseHandle, WriteFile, lstrlenA, DisconnectNamedPipe, HeapFree, HeapAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, ExitProcess, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, SetFilePointer, InterlockedDecrement, InterlockedIncrement, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, FlushFileBuffers, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
> ADVAPI32.dll: ControlService, QueryServiceStatus, DeleteService, OpenSCManagerA, CreateServiceA, CloseServiceHandle, StartServiceA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, SetServiceStatus, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, OpenServiceA

( 0 exports )

Und die 3:

Datei wcmdmgr.exe empfangen 2008.09.04 12:31:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 8/36 (22.23%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.4.2 2008.09.04 -
AntiVir 7.8.1.28 2008.09.04 ADSPY/WildTangent.B
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.03 -
AVG 8.0.0.161 2008.09.04 Generic3.FHN
BitDefender 7.2 2008.09.04 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.04 -
DrWeb 4.44.0.09170 2008.09.04 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6069 2008.09.04 -
Ewido 4.0 2008.09.03 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.04 -
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.04 -
Ikarus T3.1.1.34.0 2008.09.04 AdWare.WildTangent
K7AntiVirus 7.10.439 2008.09.03 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.09.04 -
McAfee 5376 2008.09.03 -
Microsoft 1.3903 2008.09.04 -
NOD32v2 3414 2008.09.04 Win32/Adware.WildTangent
Norman 5.80.02 2008.09.04 -
Panda 9.0.0.4 2008.09.03 -
PCTools 4.4.2.0 2008.09.03 -
Prevx1 V2 2008.09.04 Malicious Software
Rising 20.60.31.00 2008.09.04 -
Sophos 4.33.0 2008.09.04 -
Sunbelt 3.1.1582.1 2008.09.02 -
Symantec 10 2008.09.04 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.04 -
VBA32 3.12.8.4 2008.09.03 Win32.Adware.WildTangent
ViRobot 2008.9.4.1363 2008.09.04 -
VirusBuster 4.5.11.0 2008.09.03 -
Webwasher-Gateway 6.6.2 2008.09.04 Ad-Spyware.WildTangent.B
weitere Informationen
File size: 131072 bytes
MD5...: 3719cadaf5aa336aa86aae3e1b4ed003
SHA1..: 062520d6af28e9e1b5a9a2be5ae67da5d9383bc0
SHA256: 387a060955647238a7ecf1f17e67e6ce841ca2a42578c70f869cd3fec38b7732
SHA512: 09d52f095f8e85e5c2168611530109d1eb059544a68d8409159ae2ccb06076f7
0e57b9e25748bb4090cfd55e08a33e56845a94bd60a21b8cbef7995c9a9e9e4e
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4109da
timedatestamp.....: 0x3a70dad0 (Fri Jan 26 02:02:56 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x161d2 0x17000 6.30 9167e4d89cab734bba4b02f0cdd0ccca
.rdata 0x18000 0x13e6 0x2000 4.06 7cc9cfb2934667853ecd9331d583c83a
.data 0x1a000 0x5b84 0x4000 4.58 d81f3ec09f80b93771372e21d55377cf
.rsrc 0x20000 0x1300 0x2000 3.03 544a29190d194c5abe0ba85925f62f80

( 10 imports )
> WININET.dll: InternetCloseHandle, HttpOpenRequestA, HttpQueryInfoA, HttpSendRequestA, InternetOpenA, InternetConnectA, InternetReadFile
> VERSION.dll: GetFileVersionInfoSizeA, VerQueryValueA, GetFileVersionInfoA
> KERNEL32.dll: lstrcmpiA, GetTickCount, lstrcatA, GetPrivateProfileSectionNamesA, OutputDebugStringA, lstrcmpA, DeleteFileA, CreateEventA, InitializeCriticalSection, LeaveCriticalSection, SetEvent, EnterCriticalSection, WaitForSingleObject, GetLastError, Sleep, CloseHandle, FreeLibrary, GetProcAddress, LoadLibraryA, DeleteCriticalSection, GetLocalTime, WriteFile, SetFilePointer, CreateFileA, SetFileAttributesA, ReadFile, GetFileSize, CreateDirectoryA, CopyFileA, RemoveDirectoryA, FindClose, FindNextFileA, FindFirstFileA, GetModuleHandleA, lstrcpynA, GetPrivateProfileStringA, GetWindowsDirectoryA, UnmapViewOfFile, MapViewOfFile, OpenFileMappingA, MoveFileA, GetCurrentProcessId, SetPriorityClass, SetThreadPriority, DuplicateHandle, GetCurrentThread, GetCurrentProcess, GetCommandLineA, GetSystemTimeAsFileTime, CompareStringA, GetPrivateProfileIntA, WritePrivateProfileStringA, GetStdHandle, OpenProcess, SystemTimeToFileTime, FileTimeToSystemTime, WritePrivateProfileSectionA, GetSystemDirectoryA, GetExitCodeProcess, CreateProcessA, SetCurrentDirectoryA, GetCurrentDirectoryA, GetACP, GetOEMCP, GetUserDefaultLangID, GetShortPathNameA, MoveFileExA, GetFullPathNameA, CreateMutexA, ReleaseMutex, GetVersionExA, SetFileTime, LocalFileTimeToFileTime, GetFileAttributesA, CreateFileMappingA, GetSystemInfo, GlobalMemoryStatus, lstrcpyA, lstrlenA, GetFileTime, DosDateTimeToFileTime, GetStartupInfoA
> USER32.dll: GetDC, CreateWindowExA, TranslateMessage, wsprintfA, MessageBoxA, PostMessageA, IsWindow, DispatchMessageA, ReleaseDC, GetSystemMetrics, ExitWindowsEx, CharLowerA, SendMessageA, DefWindowProcA, PostQuitMessage, RegisterClassA, GetMessageA
> GDI32.dll: GetDeviceCaps
> ADVAPI32.dll: RegQueryValueExA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegDeleteValueA, RegOpenKeyExA, RegSetValueExA, RegOpenKeyA, RegEnumKeyA, RegDeleteKeyA, RegCreateKeyExA, GetUserNameA, RegCloseKey
> SHELL32.dll: FindExecutableA, ShellExecuteExA
> ole32.dll: CoCreateGuid, CoInitialize, CoUninitialize
> WSOCK32.dll: -, -, -, -, -
> MSVCRT.dll: __set_app_type, __p__fmode, __getmainargs, __p___argc, __p___argv, _beginthreadex, _except_handler3, strrchr, sscanf, strtok, memcpy, strstr, memset, __2@YAPAXI@Z, __3@YAXPAX@Z, strcmp, atoi, _adjust_fdiv, __setusermatherr, _initterm, malloc, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, strncmp, free, sprintf, __p__commode, strchr, _controlfp

( 0 exports )

Hier noch der Combofix-Log:

Nebenbei...im Netzwerk-Forum schlug jemand vor, SP3 wieder zu deinstallieren. Gesagt, getan,...Internet läuft wieder. Komme ich ohne SP3 aus?




ComboFix 08-09-01.05 - _XXX_ 2008-09-03 19:05:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.582 [GMT 2:00]
ausgeführt von:: D:\Tools Treiber etc Archiv\Tools\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-03 bis 2008-09-03 ))))))))))))))))))))))))))))))
.

2008-09-03 13:01 . 2008-09-03 13:02 <DIR> d-------- C:\ERDNT
2008-08-25 20:22 . 2008-04-14 07:52 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll
2008-08-25 20:22 . 2008-04-14 07:52 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll
2008-08-25 20:22 . 2008-04-14 07:27 93,184 --------- C:\WINDOWS\system32\msxml6r.dll
2008-08-25 20:22 . 2008-04-14 07:27 93,184 -----c--- C:\WINDOWS\system32\dllcache\msxml6r.dll
2008-08-25 20:22 . 2008-04-14 07:52 10,752 --------- C:\WINDOWS\system32\smtpapi.dll
2008-08-25 20:22 . 2008-04-14 07:52 9,728 --------- C:\WINDOWS\system32\rwnh.dll
2008-08-25 20:22 . 2008-04-14 00:13 9,728 --------- C:\WINDOWS\system32\comsdupd.exe
2008-08-25 20:18 . 2008-08-25 20:22 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-25 20:15 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\003048_.tmp
2008-08-23 13:44 . 2008-08-23 13:44 <DIR> d-------- C:\Programme\CCleaner
2008-08-23 12:53 . 2008-08-23 12:54 <DIR> d-------- C:\Programme\QuickTime
2008-08-23 12:53 . 2008-08-23 12:53 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-23 11:48 . 2008-08-23 11:48 <DIR> d-------- C:\Programme\Secunia
2008-08-22 15:43 . 2008-08-22 15:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-22 15:43 . 2008-08-22 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\Malwarebytes
2008-08-22 15:43 . 2008-08-22 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-22 15:43 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-22 15:43 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-22 00:17 . 2008-08-22 00:17 <DIR> d-------- C:\Programme\Trend Micro
2008-08-17 18:37 . 2008-08-17 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\TuneUp Software
2008-08-17 18:37 . 2008-08-17 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-08-17 18:37 . 2008-08-17 18:37 361,216 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-17 18:37 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-08-17 18:36 . 2008-08-17 18:38 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-08-17 18:35 . 2008-08-17 18:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-17 14:06 . 2008-09-03 18:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-14 19:28 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-12 09:45 . 2008-08-12 09:45 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-08-12 09:45 . 2008-08-12 09:45 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-08-12 09:45 . 2008-08-12 09:45 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-08-12 09:40 . 2008-08-12 12:23 <DIR> d-------- C:\Programme\Wondershare
2008-08-11 21:42 . 2008-08-12 09:35 <DIR> d-------- C:\Programme\Presentersoft PowerVideoMaker
2008-08-11 21:42 . 2000-08-23 17:00 33,280 --a------ C:\WINDOWS\system32\huffyuv.dll
2008-08-11 21:42 . 2006-10-29 14:30 77 --a------ C:\WINDOWS\huffyuv.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-03 16:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-03 11:22 --------- d-----w C:\Programme\SMSC
2008-08-23 11:02 --------- d-----w C:\Programme\Java
2008-08-20 07:11 --------- d-----w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\CyberLink
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-04 17:59 --------- d-----w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\MAGIX
2008-07-04 17:56 --------- d-----w C:\Programme\MEDION
2008-07-04 17:40 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-07-03 16:52 --------- d-----w C:\Programme\MGI
2008-07-03 16:52 --------- d-----w C:\Programme\Gemeinsame Dateien\MGI Shared
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-05-09 06:38 48,776 ----a-w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-12 20:02 0 ----a-w C:\Dokumente und Einstellungen\_XXX_\Anwendungsdaten\wklnhst.dat
2007-12-12 10:34 5,224 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856]
"TVBroadcast"="C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe" [2006-10-20 814080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 7700480]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"TVEService"="C:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2006-10-19 151552]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2006-04-25 535040]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"EEventManager"="C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-18 185896]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 267048]
"wcmdmgr"="C:\WINDOWS\wt\updater\wcmdmgrl.exe" [2001-01-25 20480]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"nwiz"="nwiz.exe" [2006-10-06 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\_XXX_\Startmen�\Programme\Autostart\
Secunia PSI (RC3).lnk - C:\Programme\Secunia\PSI (RC3)\psi.exe [2008-06-16 663552]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"VIDC.LAGS"= lagarith.dll
"VIDC.HFYU"= huffyuv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Infogrames\\Grand Prix 4\\GP4.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2006-06-28 16896]
R0 ViPrt;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2006-06-28 58368]
R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-17 361216]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4064ee46-bcfe-11dc-904d-0012bfc4bd71}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MEDION3GHZ.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{94a6965a-4ded-11dd-918b-0012bfc4bd71}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe BQI-KIRCHBERG.vbs

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.t-online.de/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 -: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} - hxxp://webcam.varna.bg:8080/VatDec.cab
C:\WINDOWS\Downloaded Program Files\VATDecoder.dll

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=20080125-1
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2008-09-03 19:07:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-03 19:07:51
ComboFix-quarantined-files.txt 2008-09-03 17:07:49

Pre-Run: 8 Verzeichnis(se), 36,449,796,096 Bytes frei
Post-Run: 11 Verzeichnis(se), 36,444,033,024 Bytes frei

174 --- E O F --- 2008-08-16 22:31:23

Fixe mit HJT folgenden Eintrag:

Zitat:

C:\WINDOWS\wt\updater\wcmdmgr.exe

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
C:\WINDOWS\wt
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Ohne SP3? Nicht somderlich empfehlenswert. Vorallem muss es ja auch mit gehen..

Also mein Rechner startete nun mit der Fehlermeldung:

"Windows - Kein Datenträger"

Exception Processing Message c0000013 Parameters 75b0bf9c 4 75b0bf9c 75b0bf9c


Der Avenger-Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\WINDOWS\wt" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Achso, warum komm ich in den Ordner "System Volume Information" auf keiner Platte ran? Da scheinen noch .vbs-Dateien zu liegen. Kann aber nicht öffnen.

Zitat:

Achso, warum komm ich in den Ordner "System Volume Information" auf keiner Platte ran? Da scheinen noch .vbs-Dateien zu liegen. Kann aber nicht öffnen.

garnicht,

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Starte den Rechner neu und aktiviere sie wieder.

Zur Fehlermeldung kannst du mal google befragen. Da kommt jede Menge bei raus. Das brauche ich nicht für dich zu machen..