trojan.dropper + trojan zlob

karlman · 12.09.2008, 13:06

hallo chris- es ist richtig, im combo. ist die 2.icon drin, aber unter
der dateisuche ist sie nicht sichtbar. habe auch schon die einstellungen im arbeitsplatz /ansicht gemäß deiner vorgabe kontrolliert.

Chris4You · 12.09.2008, 13:07

Zitat:

Zitat von karlman

hallo chris-hier ist der script:
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hlpwebui"=-

File::
C:\WINDOWS\system32\gnsnohcv.exe
C:\WINDOWS\system32\2.ico

Das sieht eigentlich okay raus, das Blank im String CurrentVersion sollte vom Posten ohne code-Kennzeichen kommen....
Muss ich mal verfolgen....

Dann probieren wir das gleiche halt mit Avenger und HJ:
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Files to delete:
C:\WINDOWS\system32\gnsnohcv.exe
C:\WINDOWS\system32\2.ico

Anschließen mal die Registry aufräumen:
http://www.ccleaner.com/ccleaner-20
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

chris

Ps.: Habe den Fehler, das Scriptfile muß CFScript.txt heißen, bitte umbenennen und nochmal probieren.... (Ich werde alt...)

karlman · 12.09.2008, 13:38

hier schon mal eine paar feedbacks
-
Datei psqlpwd.dll empfangen 2008.09.12 08:34:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.12.2 2008.09.12 -
AntiVir 7.8.1.28 2008.09.11 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.11 -
AVG 8.0.0.161 2008.09.11 -
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6085 2008.09.12 -
Ewido 4.0 2008.09.11 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 -
Fortinet 3.113.0.0 2008.09.11 -
GData 19 2008.09.12 -
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.12 -
McAfee 5382 2008.09.11 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3436 2008.09.12 -
Norman 5.80.02 2008.09.11 -
Panda 9.0.0.4 2008.09.11 -
PCTools 4.4.2.0 2008.09.11 -
Prevx1 V2 2008.09.12 -
Rising 20.61.40.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 -
Sunbelt 3.1.1628.1 2008.09.11 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.11.1373 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.11 -
Webwasher-Gateway 6.6.2 2008.09.12 -
weitere Informationen
File size: 40448 bytes
MD5...: a2a474a06cb97b7fd8c4357703e277f0
SHA1..: 61287843a4efe5c01ad4488637f974affe906bb3
SHA256: 4ec52c67acf975b2af88021668d6ecbde37662f82567dd24c0ade1aac6fc11e7
SHA512: c72a808055e164914b39af2e0d21ff403af4b57a812a28c7b20d2c19407cbffe
b6ae1c657b2f7787d5b786cc3de35533c52edf608a27042c4e5f72e2454c2675
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31a51c83
timedatestamp.....: 0x444e5a63 (Tue Apr 25 17:20:35 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a1f 0x5c00 6.67 ff093229661b158a8b60093850268759
.rdata 0x7000 0x1d86 0x1e00 4.99 1d836f69c61a382414ea76cbf56a174e
.data 0x9000 0x1278 0xa00 2.88 f2d70c38125aafe7d571bdeb0baf7bc5
.rsrc 0xb000 0x408 0x600 2.65 7fa07e67fae80bb20a9507da053caf46
.reloc 0xc000 0xf48 0x1000 4.13 316b1b81992292d941b629cf3dbe86c6

( 2 imports )
> KERNEL32.dll: GetFileAttributesW, GetLastError, GetModuleFileNameW, LoadLibraryExW, MultiByteToWideChar, GetTickCount, ExitProcess, GetCurrentThreadId, GetCommandLineA, GetVersionExA, HeapAlloc, RaiseException, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapReAlloc, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCurrentProcess, HeapSize, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, HeapFree, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, UnhandledExceptionFilter, WriteFile, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, SetUnhandledExceptionFilter, LoadLibraryA, RtlUnwind, InterlockedExchange, VirtualQuery, GetACP, GetOEMCP, GetCPInfo, InitializeCriticalSection, IsBadCodePtr, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, VirtualProtect, GetSystemInfo, LocalAlloc, FreeLibrary
> ADVAPI32.dll: RegQueryValueExW, RegCloseKey, RegOpenKeyExW

( 12 exports )
InitializeChangeNotify, LockEvent, LogoffEvent, LogonEvent, Module_GetStaticList, Module_IsUnlocked, PasswordChangeNotify, PasswordFilter, ShellStartEvent, ShutdownEvent, StartupEvent, UnlockEvent

-
Datei EGATHDRV.SYS empfangen 2008.09.12 08:53:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.12.2 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.11 -
AVG 8.0.0.161 2008.09.11 -
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6085 2008.09.12 -
Ewido 4.0 2008.09.11 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 -
Fortinet 3.113.0.0 2008.09.11 -
GData 19 2008.09.12 -
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.12 -
McAfee 5382 2008.09.11 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3436 2008.09.12 -
Norman 5.80.02 2008.09.11 -
Panda 9.0.0.4 2008.09.11 -
PCTools 4.4.2.0 2008.09.11 -
Prevx1 V2 2008.09.12 -
Rising 20.61.41.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 -
Sunbelt 3.1.1628.1 2008.09.11 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.11.1373 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.11 -
Webwasher-Gateway 6.6.2 2008.09.12 -
weitere Informationen
File size: 5427 bytes
MD5...: 2d0fc676d159525f6cd74c3302c7a61c
SHA1..: 51c135ad2172948f9251c4c8128f89ac900d91e8
SHA256: 0fe28d0e114a724d6b6cdaa16e9dd0d09da1187160bcb0d592306be9f22443d1
SHA512: 04082a53f63729662ed5af49cc77fba693937d7d15f74321eaa83fc114e03ac5
7ea7167649b31b647079f28aa11f3f04ea05842ab4adc59fff3a2a6e1a6b8637
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x102ce
timedatestamp.....: 0x412a19ac (Mon Aug 23 16:22:04 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x9bd 0x9c0 6.25 b23cfe6575ff5b1980fea73ed1a4c17e
.rdata 0xc40 0xa4 0xc0 2.29 3f0f1ff1b9c54facea4b0badf13ea36f
INIT 0xd00 0x200 0x200 4.92 76ac82aae166ee82d0c94fe113cd1c77
.rsrc 0xf00 0x338 0x340 3.23 22809d965c05cb1dbe063f80680c9d8f
.reloc 0x1240 0x84 0xa0 3.00 31cda3b3243c0bfc53d4b29a3cdf21e2

( 2 imports )
> ntoskrnl.exe: ZwUnmapViewOfSection, IoDeleteSymbolicLink, ZwClose, ZwMapViewOfSection, ObReferenceObjectByHandle, IofCompleteRequest, MmUnmapIoSpace, MmMapIoSpace, RtlInitUnicodeString, IoCreateDevice, IoCreateSymbolicLink, ZwOpenSection, IoDeleteDevice
> HAL.dll: HalGetBusDataByOffset, HalGetBusData, HalTranslateBusAddress, HalSetBusDataByOffset

( 0 exports )

karlman · 12.09.2008, 13:40

Datei ICQ_Service.exe empfangen 2008.09.12 08:59:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 39 und 56 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.12.2 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.11 -
AVG 8.0.0.161 2008.09.11 -
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6085 2008.09.12 -
Ewido 4.0 2008.09.11 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 -
Fortinet 3.113.0.0 2008.09.11 -
GData 19 2008.09.12 -
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.12 -
McAfee 5382 2008.09.11 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3436 2008.09.12 -
Norman 5.80.02 2008.09.11 -
Panda 9.0.0.4 2008.09.11 -
PCTools 4.4.2.0 2008.09.11 -
Prevx1 V2 2008.09.12 -
Rising 20.61.41.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 -
Sunbelt 3.1.1628.1 2008.09.11 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.11.1373 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.11 -
Webwasher-Gateway 6.6.2 2008.09.12 -
weitere Informationen
File size: 222456 bytes
MD5...: a4e43a7ab1202356bebeb6b798f15488
SHA1..: c50ea1dbefc285a4046589a8fa9c379091e7f218
SHA256: ccf8c95b0aabd4112e5d7c93cdbffe8a0f86d84d50247573702d9486c36fa128
SHA512: bc268e29425380b11439323a2a34deb20cce0ce8b997be8206474f80f2d6bb9f
08c6e0c13497f21c870f0966358b31d2cba0a024359044c8053ca265d978c6d7
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x411492
timedatestamp.....: 0x483bbe08 (Tue May 27 07:53:44 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x26f57 0x27000 6.64 7c1a0f5d135ff69f429f40a05c116a72
.rdata 0x28000 0xb7fe 0xb800 6.09 ed361b5d7724d6aed56b5805f30512f3
.data 0x34000 0x38fc 0x1800 3.43 0cd655aeb5691bec1579549a5e52461a
.rsrc 0x38000 0xbbc 0xc00 4.24 8626d667ee291bf20ec3f10232ea3302

( 12 imports )
> urlmon.dll: URLDownloadToFileW
> WININET.dll: DeleteUrlCacheEntryW
> SETUPAPI.dll: SetupIterateCabinetW
> KERNEL32.dll: FreeLibrary, LoadLibraryExW, GetCommandLineW, ReleaseMutex, FindClose, FindNextFileW, RemoveDirectoryW, FindFirstFileW, WideCharToMultiByte, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, GetLocaleInfoW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, CreateFileW, InitializeCriticalSectionAndSpinCount, LoadLibraryA, lstrcmpiW, InterlockedIncrement, GetCurrentThread, GetCurrentProcess, CloseHandle, GetModuleHandleW, GetProcAddress, InterlockedDecrement, DeleteCriticalSection, InitializeCriticalSection, RaiseException, Sleep, MoveFileExW, CreateDirectoryW, DeleteFileW, MoveFileW, GetModuleFileNameW, GetCurrentThreadId, lstrlenW, CreateEventW, WaitForSingleObject, LocalFree, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, GetLastError, lstrcpynW, SetEndOfFile, CreateFileA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, SetFilePointer, ReadFile, FlushFileBuffers, VirtualAlloc, GetConsoleMode, GetConsoleCP, SetStdHandle, IsValidCodePage, GetOEMCP, GetACP, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, SetLastError, CreateMutexW, MultiByteToWideChar, CreateThread, GetStartupInfoW, RtlUnwind, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, SetFileAttributesW, GetFileAttributesW, LCMapStringA, LCMapStringW, GetCPInfo, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree
> USER32.dll: GetMessageW, DispatchMessageW, PostThreadMessageW, FindWindowW, CharNextW, LoadStringW
> ADVAPI32.dll: ControlService, DeleteService, CreateServiceW, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, OpenThreadToken, OpenProcessToken, GetTokenInformation, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, IsValidSid, GetLengthSid, CopySid, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, CloseServiceHandle, RegOpenKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegCloseKey, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo
> ole32.dll: CoRevokeClassObject, CoRegisterClassObject, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, StringFromGUID2, CoInitializeSecurity, CoInitialize, CoUninitialize
> SHELL32.dll: SHGetFolderPathW
> OLEAUT32.dll: -, -, -, -, -, -, -
> SHLWAPI.dll: PathAppendW
> msi.dll: -
> CRYPT32.dll: CertCompareCertificate, CertFreeCertificateContext

( 0 exports )
-
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\gnsnohcv.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\2.ico" not found!
Deletion of file "C:\WINDOWS\system32\2.ico" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Chris4You · 12.09.2008, 13:55

Hi,

bitte noch mal ein neues HJ-Log, nenne vorher die HJ-EXE auf test.com um...
Die 2.ico findet er wieder nicht... seltsam....

chris

karlman · 12.09.2008, 15:01

Hi chris
anbei ein neuer HJ-log
-
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:55, on 12.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\program\Mozilla Thunderbird\thunderbird.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\program\totalcmd\TOTALCMD.EXE
C:\program\Trend Micro\HijackThis\test.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://picasa.google.com/support/bin/request.py?contact_type=uninstall&hl=de
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Programme\Lenovo\System Update\sulauncher.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - - c:\programme\lenovo\system update\suservice.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 11966 bytes

karlman · 12.09.2008, 15:17

hi- hier nochmal der neue combo..
mit dem geändert script name
.
ComboFix 08-09-10.04 - levin 2008-09-12 16:07:40.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.469 [GMT 2:00]
ausgeführt von:: F:\software\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\levin\Desktop\CFScript.txt.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-12 bis 2008-09-12 ))))))))))))))))))))))))))))))
.

2008-09-11 15:18 . 2008-09-11 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\levin\Anwendungsdaten\Malwarebytes
2008-09-11 15:18 . 2008-09-11 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-11 15:18 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-11 15:18 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-10 09:34 . 2008-09-10 09:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-09-07 13:17 . 2008-09-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\levin\.chili
2008-09-04 17:06 . 2008-09-04 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\levin\Anwendungsdaten\GoodSync
2008-09-03 09:11 . 2008-09-11 16:32 <DIR> d-------- C:\Programme\MSA
2008-08-26 16:33 . 2008-09-10 08:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynejqdkv
2008-08-13 08:48 . 2008-09-10 08:28 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-08-13 08:41 . 2008-05-01 16:30 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 11:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-11 07:08 --------- d-----w C:\Programme\StarMoney 6.0 S-Edition
2008-09-09 08:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-07 09:06 5,427 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS
2008-08-29 06:21 --------- d-----w C:\Programme\ICQ6
2008-08-13 06:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kpefefwj
2008-07-30 15:42 23,888 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-07-30 15:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-07-30 15:28 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-09 19:20 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-08 16:25 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:14 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:36 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:36 147,968 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 12:45 579,464 ----a-w C:\WINDOWS\system32\SymNeti.dll
2008-06-13 12:45 207,240 ----a-w C:\WINDOWS\system32\SymRedir.dll
2007-06-29 21:59 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007062920070630\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-09-11_18.21.29.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-02-09 16:06:20 873,848 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\FF26F08EC3D591A4489079122F292860\3.4.1\LUALL.EXE
+ 2008-02-09 16:06:26 3,220,856 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\FF26F08EC3D591A4489079122F292860\3.4.1\LuComServer.EXE
+ 2004-08-04 12:00:00 128,000 ----a-w C:\WINDOWS\system32\dllcache\mshearts.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"AwaySch"="C:\Programme\Lenovo\AwayTask\AwaySch.EXE" [2006-08-16 69632]
"TVT Scheduler Proxy"="C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-07-14 503808]
"cssauth"="C:\Programme\Lenovo\Client Security Solution\cssauth.exe" [2006-07-14 2341632]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2006-06-02 856064]
"LPManager"="C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-04 110592]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]
"PDService.exe"="C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe" [2006-03-13 41472]
"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-23 237568]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-25 51048]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2008-02-07 718704]
"TP4EX"="tp4ex.exe" [2005-10-17 C:\WINDOWS\system32\TP4EX.exe]
"TpShocks"="TpShocks.exe" [2006-03-15 C:\WINDOWS\system32\TpShocks.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-18 65588]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-08-16 19:07 49152 C:\Programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2007-02-19 16:03 32768 C:\Programme\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-04-25 19:20 40448 C:\WINDOWS\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 16:45 28672 C:\WINDOWS\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 13:16 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Gadu-Gadu"="C:\program\Gadu-Gadu\gg.exe" /tray
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe
"hlpwebui"=C:\WINDOWS\system32\gnsnohcv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"BLOG"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
"TPHOTKEY"=C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
"PWRMGRTR"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2006-03-15 88576]
R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2005-11-08 11520]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\Drivers\IBMBLDID.sys [2006-01-13 6016]
R1 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2005-06-20 4736]
R1 TPPWRIF;TPPWRIF;C:\WINDOWS\system32\drivers\Tppwrif.sys [2006-05-25 4442]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 LiveUpdate Notice;LiveUpdate Notice;C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-01-25 149864]
R2 PrivateDisk;PrivateDisk;C:\Programme\Lenovo\SafeGuard PrivateDisk\PrivateDiskM.sys [2006-03-13 58368]
R2 smi2;smi2;C:\Programme\SMI2\smi2.sys [2006-07-14 3968]
R2 smihlp;SMI helper driver;C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys [2006-04-25 3456]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2005-06-13 6016]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2008-02-09 238968]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-09 355584]
S3 w900bus;Sony Ericsson 900i driver (WDM);C:\WINDOWS\system32\DRIVERS\w900bus.sys [ ]
S3 w900mdfl;Sony Ericsson 900i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w900mdfl.sys [ ]
S3 w900mdm;Sony Ericsson 900i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\w900mdm.sys [ ]
S3 w900mgmt;Sony Ericsson 900i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\w900mgmt.sys [ ]
S3 w900obex;Sony Ericsson 900i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\w900obex.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 16:10:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\ThinkPad\ConnectUtilities\ACNotify.dll
-> C:\Programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
-> C:\Programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
-> C:\Programme\ThinkPad\ConnectUtilities\ACHelper.dll
-> C:\WINDOWS\system32\tphklock.dll
.
Zeit der Fertigstellung: 2008-09-12 16:11:06
ComboFix-quarantined-files.txt 2008-09-12 14:10:46
ComboFix2.txt 2008-09-12 09:32:02
ComboFix3.txt 2008-09-11 16:21:52

Pre-Run: 17 Verzeichnis(se), 14,185,349,120 Bytes frei
Post-Run: 19 Verzeichnis(se), 14,171,553,792 Bytes frei

192 --- E O F --- 2008-09-10 06:29:28

karlman · 12.09.2008, 15:32

hi chris
habe jetzt den CC-cleaner 4 x über die registratur laufen lassen,
bis alle fehler weg waren

karlman · 15.09.2008, 09:21

hi chris- schon eine neue idee was weiter zu tun ist?

Chris4You · 15.09.2008, 11:20

Hi,

Interessanter Weise sind in C:\Programme\MSA Dateien gelöscht worden,
aber keine Exe/dll, (das muss nicht viel heißen) daher löschen wir
mal das ganze Verzeichnis....
Außer Du benutzt den FMSServer....
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Folders to delete:
C:\Programme\MSA

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dann noch Smithfraudfix:
Anleitung&Download: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Danach setzen wir noch einen guten Scanner an:
http://www.prevx.com/freescan.asp
Poste eventuell Funde...

Die nächsten drei Tage bin ich ab jetzt unterwegs, daher nicht zu erreichen...

Ps.: Lass bitte mal das File (C:\WINDOWS\system32\dllcache\ieudinit.exe) Online püfen
Virtustotal und poste das Ergebnis

chris

karlman · 15.09.2008, 12:55

Hi Chris- schon mal die ergebnisse:
.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\MSA" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

--
SmitFraudFix v2.350

Scan done at 13:02:02,76, 15.09.2008
Run from F:\software\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\program\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\program\totalcmd\TOTALCMD.EXE
F:\software\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\levin

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\levin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\levin\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme Gigabit Ethernet - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B91E0BFD-9F82-4EE0-BC8C-47F7416FB4CE}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B91E0BFD-9F82-4EE0-BC8C-47F7416FB4CE}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B91E0BFD-9F82-4EE0-BC8C-47F7416FB4CE}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

---------------------------------------------
SmitFraudFix v2.350

Scan done at 13:12:02,40, 15.09.2008
Run from F:\software\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
.
------------------------------------------------------
Datei ieudinit.exe empfangen 2008.09.15 13:47:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.15 -
Authentium 5.1.0.4 2008.09.14 -
Avast 4.8.1195.0 2008.09.14 -
AVG 8.0.0.161 2008.09.15 -
BitDefender 7.2 2008.09.15 -
CAT-QuickHeal 9.50 2008.09.15 -
ClamAV 0.93.1 2008.09.15 -
DrWeb 4.44.0.09170 2008.09.15 -
eSafe 7.0.17.0 2008.09.14 -
eTrust-Vet 31.6.6090 2008.09.15 -
Ewido 4.0 2008.09.15 -
F-Prot 4.4.4.56 2008.09.14 -
F-Secure 8.0.14332.0 2008.09.15 -
Fortinet 3.113.0.0 2008.09.15 -
GData 19 2008.09.15 -
Ikarus T3.1.1.34.0 2008.09.15 -
K7AntiVirus 7.10.454 2008.09.13 -
Kaspersky 7.0.0.125 2008.09.15 -
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.15 -
NOD32v2 3442 2008.09.15 -
Norman 5.80.02 2008.09.15 -
Panda 9.0.0.4 2008.09.15 -
PCTools 4.4.2.0 2008.09.15 -
Prevx1 V2 2008.09.15 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.15 -
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.15 -
TheHacker 6.3.0.9.082 2008.09.14 -
TrendMicro 8.700.0.1004 2008.09.15 -
VBA32 3.12.8.5 2008.09.14 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.14 -
Webwasher-Gateway 6.6.2 2008.09.15 -
weitere Informationen
File size: 13824 bytes
MD5...: 65589f46173dbcc72b8617833802e4ad
SHA1..: 96adf92afda7b393a5da06b2c57543ec409479cc
SHA256: 99728544c5e33668f5c1a1cbbcbfb184202a16a76ff4ddf2c289fd33a995ddfe
SHA512: 2ceb7af6b8fbe2a728ffe7018f54ef93354774cd91e0dd1e6da55d82cc5e9e71
bc8766ebf0fc34a42d827d8f78b759a5c840818587d188a2d0673b0193b38058
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10020ee
timedatestamp.....: 0x4859b281 (Thu Jun 19 01:12:33 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e36 0x2000 5.90 e2ef9d68b4d8d0d1814ac7aaf93f3a29
.data 0x3000 0x690 0x400 5.84 15a3d56f32609c7801bd7353e1e1ae43
.rsrc 0x4000 0x720 0x800 4.14 f82a0a7228b72cb5b9f0d1593ef10c17
.reloc 0x5000 0x45e 0x600 2.31 d1bd094210a7afb6ac8e702d0357b84e

( 3 imports )
> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegDeleteValueW, RegSetValueExW, RegDeleteKeyW, RegQueryInfoKeyW, RegCreateKeyExW
> KERNEL32.dll: GetLastError, SetFileAttributesW, GetFileAttributesW, CompareStringW, lstrlenW, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, InterlockedCompareExchange, Sleep, InterlockedExchange
> msvcrt.dll: _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _terminate@@YAXXZ, __wgetmainargs, memset, __2@YAPAXI@Z, __3@YAXPAX@Z, _vsnwprintf, _controlfp

( 0 exports )

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

karlman · 15.09.2008, 12:59

Hi Chris
der scan mit Prevx war ohne befund

karlman · 23.09.2008, 07:34

hallo chris- hast du vielleicht nochmal zeit zu schauen wie es weiter gehen koennte.
danke

trojan.dropper + trojan zlob

Plagegeister aller Art und deren Bekämpfung: trojan.dropper + trojan zlob