Ok, fünf Minuten, dann bin ich da (Wäsche aufhängen, sonst Schläge von der Freundin) und arbeite die Punkte ab.

Keine Hektik! Ich habe auch noch andere Dinge zu tun..

Spybot hat gerade den automatischen Scan durchgeführt und folgende Ergebnisse geliefert:

1.Microsoft.WindowsSecurityCenter.Antivirusoverride.
2.Microsoft. Windows.Explorer

Arbeite jetzt die Punkte ab.

Ergebnisse von VirusTotal

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.25 -
AntiVir 7.8.1.34 2008.09.25 -
Authentium 5.1.0.4 2008.09.25 -
Avast 4.8.1195.0 2008.09.25 -
AVG 8.0.0.161 2008.09.25 -
BitDefender 7.2 2008.09.25 -
CAT-QuickHeal 9.50 2008.09.25 -
ClamAV 0.93.1 2008.09.25 -
DrWeb 4.44.0.09170 2008.09.25 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6106 2008.09.25 -
Ewido 4.0 2008.09.25 -
F-Prot 4.4.4.56 2008.09.25 -
F-Secure 8.0.14332.0 2008.09.25 -
Fortinet 3.113.0.0 2008.09.25 -
GData 19 2008.09.25 -
Ikarus T3.1.1.34.0 2008.09.25 -
K7AntiVirus 7.10.473 2008.09.25 -
Kaspersky 7.0.0.125 2008.09.25 -
McAfee 5391 2008.09.24 -
Microsoft 1.3903 2008.09.25 -
NOD32 3471 2008.09.25 -
Norman 5.80.02 2008.09.25 -
Panda 9.0.0.4 2008.09.24 -
PCTools 4.4.2.0 2008.09.25 -
Prevx1 V2 2008.09.25 -
Rising 20.63.32.00 2008.09.25 -
Sophos 4.33.0 2008.09.25 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.09.25 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.25 -
VBA32 3.12.8.6 2008.09.25 -
ViRobot 2008.9.25.1392 2008.09.25 -
VirusBuster 4.5.11.0 2008.09.25 -
Webwasher-Gateway 6.6.2 2008.09.25 -
weitere Informationen
File size: 552960 bytes
MD5...: a10b1793b483cd297e7033dc6fd3ea24
SHA1..: 932ce5835746a12362c3c9e18a568081e65f6406
SHA256: 3b76888f71e1ee7036d1343b4363bb58b1e8c24ccf0252daebea1a8a5198a6df
SHA512: faeebbaf6a22e04a3b3961a4bd1d546b09414a62f1543aad9f71a73013cf5a78
feef30df5e639bdc5deb71bee56f0dc8439937628fb9e7f8d8b4327baf02c5cc
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43f7bf
timedatestamp.....: 0x40178ef6 (Wed Jan 28 10:29:10 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5e3ef 0x5f000 6.51 9b8b3b45cd090303cec0acd3b2b0f29c
.rdata 0x60000 0x13aee 0x14000 4.95 8126175ef594e4780f173fbd73bf568c
.data 0x74000 0x15208 0xc000 4.49 7c5c1e44a13f8005cbec81840a912b49
.tls 0x8a000 0x208 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x8b000 0x5e9c 0x6000 3.54 c64964c25bdf0b29d5b9fbf0f7939c18

( 16 imports )
> TAPI32.dll: lineGetTranslateCaps, lineSetCurrentLocation, lineNegotiateAPIVersion, lineGetDevCaps, lineOpen, lineGetID, lineGetLineDevStatus, lineClose, tapiGetLocationInfo, lineInitialize, lineGetCountry, lineGetProviderList, lineShutdown
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> KERNEL32.dll: lstrcmpA, ResumeThread, SetThreadPriority, SuspendThread, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GlobalFlags, GetProcessVersion, TlsAlloc, GlobalHandle, TlsFree, TlsSetValue, TlsGetValue, GetCPInfo, GetOEMCP, SizeofResource, DuplicateHandle, GetCurrentProcess, LockFile, UnlockFile, SetEndOfFile, GetVolumeInformationA, GetFileAttributesA, GetFileTime, FileTimeToSystemTime, FileTimeToLocalFileTime, SetErrorMode, HeapFree, HeapAlloc, RtlUnwind, RaiseException, GetTimeZoneInformation, HeapReAlloc, GetStartupInfoA, ExitProcess, TerminateProcess, CreateThread, ExitThread, HeapSize, GetACP, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetCurrentThread, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetProfileStringA, lstrlenA, GlobalFree, GlobalReAlloc, GlobalUnlock, GlobalLock, GlobalAlloc, GetUserDefaultLCID, GetCommandLineA, SetEvent, CreateEventA, CloseHandle, WaitForSingleObject, GetModuleFileNameA, OpenEventA, GetSystemTime, Sleep, GetTickCount, GetVersionExA, FreeLibrary, GetProcAddress, LoadLibraryA, WritePrivateProfileStringA, GetSystemDirectoryA, InterlockedDecrement, InterlockedIncrement, ReleaseMutex, CreateMutexA, ReadFile, GetFileSize, CreateFileA, WriteFile, SetFileAttributesA, FreeEnvironmentStringsW, DeleteFileA, SetCurrentDirectoryA, GetThreadLocale, FindResourceA, LoadResource, GetFullPathNameA, GetSystemDefaultLangID, ResetEvent, SetSystemTime, SetFilePointer, LockResource, GetVersion, lstrcatA, GetCurrentThreadId, GlobalGetAtomNameA, lstrcmpiA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcpyA, MulDiv, SetLastError, MultiByteToWideChar, WideCharToMultiByte, LocalSize, OutputDebugStringA, LocalAlloc, LocalReAlloc, LocalFree, GetModuleHandleA, FormatMessageA, GetTempPathA, FindFirstFileA, RemoveDirectoryA, FindNextFileA, FindClose, CreateDirectoryA, GetLastError, SetLocalTime, lstrcpynA, GetPrivateProfileStringA, GetTempFileNameA, CopyFileA, GetLocalTime, CreateProcessA, GetExitCodeProcess, FlushFileBuffers
> USER32.dll: GetNextDlgGroupItem, MessageBeep, CharUpperA, RegisterClipboardFormatA, PostThreadMessageA, CopyAcceleratorTableA, GetSysColorBrush, GetDesktopWindow, GetClassNameA, DestroyMenu, MapDialogRect, SetWindowContextHelpId, LoadStringA, GetMessageA, TranslateMessage, ValidateRect, PostQuitMessage, EndDialog, GetActiveWindow, CreateDialogIndirectParamA, CharNextA, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, GetNextDlgTabItem, IsWindowEnabled, ShowWindow, MoveWindow, SetWindowTextA, IsDialogMessageA, SendDlgItemMessageA, MapWindowPoints, PeekMessageA, GetFocus, SetActiveWindow, SetFocus, AdjustWindowRectEx, GetTopWindow, IsChild, WinHelpA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, TrackPopupMenu, GetWindowTextLengthA, GetDlgCtrlID, GetKeyState, DefWindowProcA, DestroyWindow, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, SetWindowLongA, SetWindowPos, UnregisterClassA, HideCaret, ShowCaret, ExcludeUpdateRgn, DefDlgProcA, IsWindowUnicode, ReleaseDC, GetDC, OffsetRect, GetWindowPlacement, IntersectRect, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, ScreenToClient, wsprintfA, AppendMenuA, CreatePopupMenu, GetSysColor, PtInRect, CopyRect, LoadImageA, GetClassInfoA, DestroyIcon, InflateRect, DrawFrameControl, SetCursor, DrawFocusRect, SetRect, EnableWindow, UpdateWindow, InvalidateRect, LoadCursorA, GetWindowRect, KillTimer, SetTimer, FindWindowA, GetSystemMetrics, SystemParametersInfoA, IsWindowVisible, SendMessageA, PostMessageA, GetParent, SetForegroundWindow, MessageBoxA, LoadIconA, DrawIcon, GetClientRect, IsIconic, IsWindow, GetWindow, RegisterWindowMessageA, GetWindowTextA, GetDlgItem, GetWindowLongA, EnumWindows, AdjustWindowRect, GetCursorPos, FillRect, SetWindowRgn, EnableMenuItem, GetCapture, WindowFromPoint, DispatchMessageA
> GDI32.dll: GetStockObject, FrameRgn, CreateFontIndirectA, GetTextExtentPoint32A, Polygon, SaveDC, RestoreDC, SetBkMode, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, GetClipBox, IntersectClipRect, MoveToEx, LineTo, GetTextExtentPointA, GetViewportExtEx, GetWindowExtEx, CreatePen, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetMapMode, PatBlt, DPtoLP, GetTextColor, GetBkColor, LPtoDP, CreateSolidBrush, CreateDIBSection, ExtCreateRegion, CombineRgn, SetBkColor, SetTextColor, CreateBitmap, SelectClipRgn, GetObjectA, BitBlt, StretchBlt, DeleteDC, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, DeleteObject, CreateDIBitmap, GetDeviceCaps
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: OpenPrinterA, ClosePrinter, DocumentPropertiesA
> ADVAPI32.dll: GetUserNameA, RegSetValueExA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA
> SHELL32.dll: ShellExecuteA, Shell_NotifyIconA
> COMCTL32.dll: _TrackMouseEvent, -
> oledlg.dll: -
> ole32.dll: CoGetClassObject, StgOpenStorageOnILockBytes, StgCreateDocfileOnILockBytes, CreateILockBytesOnHGlobal, CoTaskMemFree, CoTaskMemAlloc, CLSIDFromString, OleInitialize, OleUninitialize, CoFreeUnusedLibraries, CoRegisterMessageFilter, CoRevokeClassObject, OleFlushClipboard, OleIsCurrentClipboard, CLSIDFromProgID
> OLEPRO32.DLL: -
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -
> WININET.dll: InternetSetOptionA, InternetOpenA, InternetConnectA, InternetCloseHandle, FtpOpenFileA, InternetWriteFile

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=a10b1793b483cd297e7033dc6fd3ea24

Hey, weiß ja nicht, ob ich mich schn freuen darf, aber hier erstmal den Combofixtext:

ComboFix 08-09-25.01 - Besitzer 2008-09-25 19:41:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.233 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\netwoman.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
.

2008-09-25 15:27 . <DIR> C:\WINDOWS\LastGood.Tmp
2008-09-25 15:27 . 2008-09-25 15:53 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-09-25 02:08 . 2008-09-25 02:37 <DIR> d-------- C:\Programme\Registry Easy
2008-09-24 17:06 . 2008-09-24 18:52 <DIR> d-------- C:\Programme\a-squared Free
2008-09-23 00:27 . 2008-09-23 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GlarySoft
2008-09-23 00:15 . 2008-09-23 00:15 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-09-23 00:09 . 2008-06-19 22:31 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-23 00:09 . 2008-09-23 00:15 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-09-23 00:03 . 2008-09-23 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\MSN6
2008-09-23 00:03 . 2008-09-23 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-09-22 00:54 . 2008-09-22 00:54 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-09-11 14:24 . 2008-09-11 14:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-11 14:14 . 2008-09-11 15:52 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-11 14:14 . 2008-09-11 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-09-11 14:14 . 2008-09-11 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-11 14:14 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-11 14:14 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 17:47 11,778,848 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-25 17:46 618,528 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-25 17:46 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-25 17:45 58,988 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-25 17:45 158,780 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-25 17:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-25 10:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-22 22:22 --------- d-----w C:\Programme\BaySearchBar
2008-09-17 13:57 --------- d-----w C:\Programme\Wise Registry Cleaner 3
2008-09-09 20:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-07 08:42 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-01 23:55 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\dvdcss
2008-08-01 23:53 --------- d-----w C:\Programme\VideoLAN
2008-07-28 11:32 --------- d-----w C:\Programme\Google
2008-07-25 13:47 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

------- Sigcheck -------

2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2008-04-14 07:53 14336 4fbc75b74479c7a6f829e0ca19df3366 C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2008-04-14 07:53 14336 402844c32d2980ac7b570e9d0bf9952e C:\WINDOWS\system32\svchost.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoSecCPL"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoNetSetup"= 0 (0x0)
"NoNetSetupIDPage"= 0 (0x0)
"NoNetSetupSecurityPage"= 0 (0x0)
"NoWorkgroupContents"= 0 (0x0)
"NoEntireNetwork"= 0 (0x0)
"NoFileSharingControl"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"RestrictRun"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)
"NoClose"= 0 (0x0)
"NoSetFolders"= 0 (0x0)
"NoFavoritesMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 24344]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 9472]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\st5b5edl.default\
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 19:47:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-25 19:52:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-25 17:52:17

Vor Suchlauf: 7 Verzeichnis(se), 66.091.376.640 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 66,001,178,624 Bytes frei

146 --- E O F --- 2008-09-22 12:22:21


Ich habe nun - nach dem scan - plötzlich zwei verschiedene Interneteplorersymbole im Desktop. Ist das so richtig?

Deinstalliere a-Square und mache die Systemanalyse.

Hier das Log:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1205
Windows 5.1.2600 Service Pack 3

25.09.2008 22:03:57
mbam-log-2008-09-25 (22-03-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 101148
Laufzeit: 36 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Avz zip:
http://rapidshare.com/files/148388537/avz_sysinfo.zip.html

Avz Log:

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 25.09.2008 22:37:57
Database loaded: signatures - 188654, NN profile(s) - 2, microprograms of healing - 56, signature database released 25.09.2008 21:07
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 73357
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Function kernel32.dll:GetProcAddress (409) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC
Function kernel32.dll:LoadLibraryA (581) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C
Function kernel32.dll:LoadLibraryExA (582) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0
Function kernel32.dll:LoadLibraryExW (583) intercepted, method ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8
Function kernel32.dll:LoadLibraryW (584) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4
IAT modification detected: LoadLibraryA - 7C884F9C<>7C801D7B
IAT modification detected: GetProcAddress - 7C884FEC<>7C80AE30
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Function user32.dll:RegisterRawInputDevices (546) intercepted, method ProcAddressHijack.GetProcAddress ->7E3BCE0E->7EEA0080
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=083220)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Function NtClose (19) intercepted (805678DD->B2E041E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtConnectPort (1F) intercepted (805879EB->B2E022F0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateKey (29) intercepted (8057065D->B2DF5750), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateProcess (2F) intercepted (805B135A->B2E03F10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateProcessEx (30) intercepted (8057FC60->B2E04080), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateSection (32) intercepted (805652B3->B2E04D00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateSymbolicLinkObject (34) intercepted (8059F509->B2E047B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateThread (35) intercepted (8058E63F->B2E05600), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDeleteKey (3F) intercepted (805952BE->B2DF5860), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDeleteValueKey (41) intercepted (80592D50->B2DF58E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDuplicateObject (44) intercepted (805715E0->B2E04380), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtEnumerateKey (47) intercepted (80570D64->B2DF5990), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtEnumerateValueKey (49) intercepted (8059066B->B2DF5A40), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtFlushKey (4F) intercepted (805DC590->B2DF5AF0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtInitializeRegistry (5C) intercepted (805A8064->B2DF5B70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadDriver (61) intercepted (805A3AF1->B2E01E50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadKey (62) intercepted (805AED5D->B2DF6590), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadKey2 (63) intercepted (805AEB9A->B2DF5B90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtNotifyChangeKey (6F) intercepted (8058A68D->B2DF5C70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenFile (74) intercepted (8056CD5B->F8573030), hook C:\WINDOWS\system32\Drivers\kl1.sys, driver recognized as trusted
Function NtOpenKey (77) intercepted (80568D59->B2DF5D50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenProcess (7A) intercepted (805717C7->B2E03D00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenSection (7D) intercepted (80570FD7->B2E04B20), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryKey (A0) intercepted (80570A6D->B2DF5E30), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryMultipleValueKey (A1) intercepted (8064E320->B2DF5EE0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQuerySystemInformation (AD) intercepted (8057BC36->B2E052B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryValueKey (B1) intercepted (8056A1F1->B2DF5F90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtReplaceKey (C1) intercepted (8064F0FA->B2DF6070), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtRequestWaitReplyPort (C8) intercepted (80576CE6->B2E02900), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtRestoreKey (CC) intercepted (8064EC91->B2DF6100), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtResumeThread (CE) intercepted (8058ECB2->B2E055B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSaveKey (CF) intercepted (8064ED92->B2DF6300), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetContextThread (D5) intercepted (8062DCDF->B2E05940), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetInformationFile (E0) intercepted (8057494A->B2E05F60), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetInformationKey (E2) intercepted (8064DE83->B2DF6390), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetSecurityObject (ED) intercepted (8059B19B->B2E00A10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetSystemInformation (F0) intercepted (805A7BDD->B2E049A0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetValueKey (F7) intercepted (80572889->B2DF6430), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSuspendThread (FE) intercepted (805E045E->B2E05560), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSystemDebugControl (FF) intercepted (80649CE3->B2E021B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtTerminateProcess (101) intercepted (805822E0->B1F3FF20), hook C:\Programme\SUPERAntiSpyware\SASKUTIL.sys
Function NtUnloadKey (107) intercepted (8064D9FA->B2DF6550), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtWriteVirtualMemory (115) intercepted (8057E420->B2E04240), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function FsRtlCheckLockForReadAccess (80512919) - machine code modification Method of JmpTo. jmp B2E06380 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function IoIsOperationSynchronous (804E875A) - machine code modification Method of JmpTo. jmp B2E06880 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Functions checked: 284, intercepted: 43, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Searching for masking processes and drivers - complete
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 24
Number of modules loaded: 317
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> Service termination timeout is out of admissible values
Checking - complete
Files scanned: 342, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 25.09.2008 22:38:23
Time of scanning: 00:00:27
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

So, ich glaube jetzt habe ich alles abgearbeitet. Superantispyware hat zwar nichts gefunden, aber wo finde ich das Log-Dingens?

Zitat:

Ich habe nun - nach dem scan - plötzlich zwei verschiedene Interneteplorersymbole im Desktop. Ist das so richtig?

Was meinst du mit Internet Symbolen?


Führe bitte folgendes Skript mit AVZ aus (File -> Custom Skript)

Code: Alles auswählenAufklappen

ATTFilter

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes');
 BC_DeleteFile('C:\Programme\Registry Easy\RE.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ieudinit.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         

Der Rechner startet dabei neu!


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:



Folders to delete:
C:\Programme\Registry Easy
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Programme\Mozilla Firefox\components\browserdirprovider.dll
C:\Programme\Mozilla Firefox\components\brwsrcmp.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Lasse im Anschluss SUPERAntiSpyware und Panda drüber schauen.


Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Zitat:

Zitat von xonic

Das will ich jetzt genauer erklärt haben.

Wieso willst Du immer direkt formatieren lassen ? Man kan Malware auch ohne formatieren loswerden. Das bezieht sich jetzt auf deine Aussage : Wenn Du infiziert bist , hilft eh nur formatieren. Da könnte GUA das Forum ja direkt schließen und nur die Anleitung fürs Neuaufsetzen online lassen

OT-Blase bitte an dieser Stelle beenden. Wenn ihr diskutieren wollt dann bitte im entsprechenden Unter-Forum

Naja, ich habe nach dem Comboscan zwei Internetexplorersymbole gehabt. Dieser automatische Yahooscan findet bei mir immer bifrost und KaZaa, beide Ordner/ Schlüssel sind auch im entsprechenden Verzeichnis, aber angeblich leer. Versuche ich sie zu löschen, dann sind sie schnell wieder da. Ich arbeite jetzt noch deine weiteren Anweisungen ab. Vielen Dank, für deinen Hinweis an die anderen: Das verunsichert und nervt nämlich.

Als ich Anvenger ausführte bekam ich eine Virenmeldung von Kaspersky. habe dann folgendes gelöscht: Infiziert: schädliches Programm Hoax.Win32.Agent.fu C:\WINDOWS\system32\drivers\wuhd.sys 60 KB

Ich dachte immer, diese c cleanup exe gehört zum CClenaer. Führe jetzt den Pandascan durch.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 23040 bytes
MD5...: b68aee4586a0195f2ba8223ee36fda40
SHA1..: 8ef83aeb1c0cbbcfa0da10ad117fb03e192c54c3
SHA256: 5e04b5832101b9558e5deb70d83da0963f6d452f901be86e76c90dc7ac8e6528
SHA512: 9dd65833c5322f099cf23ca198f288abcbd656fa1705441101710687993b8c46
f23c38eed98da5738220dd3cf37532f8eec4caeb90204637af70a842ef79c3b3
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601b2ed0
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2432 0x2600 6.16 0fa5f13848f4447d7156f4b2754bb2d1
.rdata 0x4000 0xed5 0x1000 5.73 292dc406d33ae8ddd16c719d7725487b
.data 0x5000 0x370 0x200 0.49 8cb92535fced5bbe1980af6e98d20b22
.rsrc 0x6000 0x390 0x400 2.97 39a449a88f891c8aada7ffab0876d2b7
.reloc 0x7000 0x3fc 0x400 5.11 a64da0e8f379d2d93372e47b6bf7b5dd

( 4 imports )
> xpcom.dll: NS_GetServiceManager, NS_Alloc, NS_CStringContainerInit, NS_CStringContainerInit2, NS_NewNativeLocalFile, NS_CStringContainerFinish
> nspr4.dll: PR_AtomicIncrement, PR_AtomicDecrement
> MOZCRT19.dll: strcpy, _except_handler4_common, _onexit, _lock, __dllonexit, _unlock, __clean_type_info_names_internal, _crt_debugger_hook, __CppXcptFilter, _adjust_fdiv, _amsg_exit, _initterm_e, strcmp, __3@YAXPAX@Z, __2@YAPAXI@Z, memmove, free, realloc, malloc, memcpy, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm
> KERNEL32.dll: IsDebuggerPresent, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, DisableThreadLibraryCalls, InterlockedExchange, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, Sleep

( 1 exports )
NSGetModule

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 134656 bytes
MD5...: 0b5ab942bc83a11259b548fb93110049
SHA1..: 4b1555d24dea4123a966df9f165c93e418e46a4c
SHA256: 22a63e9685e2875852f8caf887a5dcddda797556efa94a9e7cf99ffa605b7617
SHA512: ab573a1a36af2012e2c055cb1cb46022a22c433ecc00995585743234717b8434
ae4b0c97ccb7219d8cf394b34783efc05135206006f3d0f50a48fcee1a47ca9d
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601d8160
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17841 0x17a00 6.40 59d0d552d20fe3a9884cdf00a0efbbd2
.rdata 0x19000 0x4f2b 0x5000 5.72 b956ffbc5b64071e631b4cee1d40f4f4
.data 0x1e000 0x1180 0xc00 4.33 ff43f96d2c4bea5daf72b3a7e889ee6d
.rsrc 0x20000 0x390 0x400 2.97 8731a9ce95e58c342f36ea070d9a6df9
.reloc 0x21000 0x199a 0x1a00 6.23 bfce677179f5bfa5850f76b77f932b2c

( 10 imports )
> xpcom.dll: NS_GetServiceManager, NS_GetComponentManager, NS_CStringGetMutableData, NS_StringGetMutableData, NS_Alloc, NS_NewNativeLocalFile, NS_Realloc, NS_StringCopy, NS_CStringCopy, NS_Free, NS_StringSetData, NS_CStringCloneData, NS_StringGetData, NS_StringSetDataRange, NS_StringCloneData, NS_UTF16ToCString, NS_CStringSetData, NS_NewLocalFile, NS_StringContainerInit2, NS_CStringGetData, NS_CStringToUTF16, NS_CStringSetDataRange, NS_StringContainerFinish, NS_StringContainerInit, NS_CStringContainerInit2, NS_CStringContainerInit, NS_CStringContainerFinish
> nspr4.dll: PR_Free, PR_ImplodeTime, PR_Close, PR_Read, PR_Malloc, PR_sscanf, PR_Now, PR_snprintf, PR_NewLock, PR_DestroyLock, PR_GetError, PR_Unlock, PR_Lock, PR_SetError, PR_Calloc, PR_AtomicDecrement, PR_AtomicIncrement
> plc4.dll: PL_strcasecmp, PL_strcpy, PL_strcmp, PL_strlen, PL_Base64Encode, PL_strncpy, PL_strdup
> KERNEL32.dll: UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, SetUnhandledExceptionFilter, InterlockedExchange, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, Sleep, IsDebuggerPresent, GetWindowsDirectoryA, CloseHandle, GetModuleFileNameW, GetShortPathNameW, CreateProcessW, InterlockedDecrement, GetProcAddress, ExpandEnvironmentStringsW, FileTimeToSystemTime, GetEnvironmentVariableW, LoadLibraryA, GetSystemTimeAsFileTime, DisableThreadLibraryCalls
> USER32.dll: GetDC, SystemParametersInfoW, GetSysColor, SetSysColors, ReleaseDC
> GDI32.dll: EnumFontFamiliesExW
> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegSetValueExW, RegCloseKey, RegOpenKeyExW, RegQueryValueExW
> ole32.dll: CoInitialize, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -
> MOZCRT19.dll: _wfopen, memmove, realloc, _snprintf, memcmp, strcpy, fflush, fseek, ftell, fwrite, fread, fopen, _errno, memcpy, _stat64i32, memset, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm, _initterm_e, _amsg_exit, _adjust_fdiv, __CppXcptFilter, _unlock, __dllonexit, strcmp, malloc, printf, free, swscanf, sprintf, _lock, _onexit, _crt_debugger_hook, __clean_type_info_names_internal, _except_handler4_common, fclose, ___V@YAXPAX@Z, wcscat, sscanf, wcsncpy, wcslen, wcstol, _mktime64, __2@YAPAXI@Z, __3@YAXPAX@Z

( 1 exports )
NSGetModule