| |
| |||||||
Log-Analyse und Auswertung: Rechner funzt nur im abgesicherten Modus TR/Fakealert.QEWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
20.10.2008, 10:58
| #1 |
| |  Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE Hallo liebe Trojaner-board gemeinde  hab da echt ein riesen problem und weiss nicht mehr weiter. wenn ich meinen rechner normal Hochfahre kann ich nach ca. 1 minute nurnoch den mauszeiger bewegen, ansonsten geht garnichts mehr... avira zeigt immer an TR/Fakealert.QE im Abgesicherten Modus läuft er stabil,hab auch schon avira und malewarebytes durchlaufen lassen und ein Hijackthis-log gemacht. nur leider kann ich mit dem log nich viel anfangen und hoffe auf eure Hilfe! wäre euch sehr dankbar! gruß Smokey Logfile of HijackThis v1.99.1 Scan saved at 11:18:20, on 20.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Medion Info Display\MdionLCM.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\brastk.exe C:\WINDOWS\system32\ctfmon.exe C:\programme\steam\steam.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\system32\drivers\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\GetRight\getright.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\GetRight\getright.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Dokumente und Einstellungen\*****\Desktop\hijackthis\HijackThis.exe C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll (file missing) O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c " O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [brastk] brastk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\P529D~1.POT\ANWEND~1\OPTION~1\Stop Aim.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - htp://ww.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=htp://ww.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: NBService - Nero AG - D:\TOOLS\nero siiiieeeebeeen\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
|
20.10.2008, 15:11
| #2 |
  | Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE Hi,
__________________das sieht nicht gut aus, Backdoor/Trojaner: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\drivers\svchost.exe
C:\DOKUME~1\P529D~1.POT\ANWEND~1\OPTION~1\Stop Aim.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\karna.dat
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brastk
Files to delete:
C:\WINDOWS\system32\drivers\svchost.exe
C:\DOKUME~1\P529D~1.POT\ANWEND~1\OPTION~1\Stop Aim.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\karna.dat
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\P529D~1.POT\ANWEND~1\OPTION~1\Stop Aim.exe
Malwarebytes Antimalware (MAM). Fullscan und alles beseitigen lassen, Log posten! Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Chris
__________________ |
|
20.10.2008, 20:53
| #3 | ||
| | Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE ein superdickes danke erstma,ihr seid echt Genial!!!
__________________also hab jetz alles gemacht und der Rechner läuft soweit wieder stabil! Hier die logfiles: bei Virustotal: Zitat:
dann Avenger: Zitat:
|
|
20.10.2008, 20:54
| #4 | |
| | Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE Malewarebytes: Zitat:
Code:
ATTFilter ComboFix 08-10-19.04 - P.Potsmoker 2008-10-20 21:17:40.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.740 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\P.Potsmoker\Desktop\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\brastk.exe
C:\WINDOWS\system32\DelSelf.bat
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\windows_update.exe
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TDSSSERV
-------\Service_TDSSserv
((((((((((((((((((((((( Dateien erstellt von 2008-09-20 bis 2008-10-20 ))))))))))))))))))))))))))))))
.
2008-10-20 19:58 . 2008-10-20 19:58 135,168 --a------ C:\zip.exe
2008-10-20 19:58 . 2008-10-20 19:58 19,286 --a------ C:\cleanup.exe
2008-10-20 19:58 . 2008-10-20 19:58 574 --a------ C:\cleanup.bat
2008-10-20 00:06 . 2008-10-20 00:06 36,864 --a------ C:\WINDOWS\system32\TDSSkfrm.dll
2008-10-20 00:06 . 2008-10-20 00:06 31,232 --a------ C:\WINDOWS\system32\TDSSfccf.dll
2008-10-20 00:06 . 2008-10-20 00:06 29,696 --a------ C:\WINDOWS\system32\TDSSmriv.dll
2008-10-20 00:06 . 2008-10-20 00:06 3,530 --a------ C:\WINDOWS\system32\TDSSxbad.dll
2008-10-20 00:06 . 2008-10-20 00:06 164 --a------ C:\WINDOWS\system32\TDSSnirj.dat
2008-10-17 16:04 . 2008-10-17 16:04 <DIR> d-------- C:\Programme\ProtectDisc Driver Installer
2008-10-17 16:03 . 2008-10-18 02:05 600 --a------ C:\WINDOWS\BeatBox.INI
2008-10-17 16:03 . 2008-10-18 02:01 28 --a------ C:\WINDOWS\Robota.INI
2008-10-17 16:02 . 2006-07-21 17:16 430,080 --a------ C:\WINDOWS\system32\MXRestore.exe
2008-10-17 16:02 . 2007-04-18 23:07 53,248 --a------ C:\WINDOWS\system32\mgxasio2.dll
2008-10-17 15:37 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-10-17 15:36 . 2008-10-17 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-10-12 12:10 . 2008-10-12 12:10 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-10-12 12:10 . 2008-10-12 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\P.Potsmoker\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-12 12:10 . 2008-10-12 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-12 10:39 . 2008-10-12 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cnylclwd
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 18:13 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-10-20 09:49 --------- d-----w C:\Programme\Steam
2008-10-17 12:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-17 12:51 --------- d-----w C:\Dokumente und Einstellungen\P.Potsmoker\Anwendungsdaten\Atari
2008-10-16 18:25 38,496 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-16 18:25 15,504 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-10-12 10:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-09 09:52 --------- d-----w C:\Programme\KaloMa
2008-10-06 17:37 32,052 ----a-w C:\Dokumente und Einstellungen\P.Potsmoker\Anwendungsdaten\wklnhst.dat
2008-09-22 18:05 --------- d-----w C:\Programme\ICQ6
2008-09-18 17:18 --------- d-----w C:\Programme\GetRight
2008-09-11 20:30 --------- d-----w C:\Dokumente und Einstellungen\P.Potsmoker\Anwendungsdaten\Malwarebytes
2008-09-11 20:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-05 14:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-09-04 11:28 --------- d-----w C:\Programme\Avira
2008-09-04 11:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-04 10:26 --------- d-----w C:\Programme\CannaPower-Tool
2008-09-03 20:58 --------- d-----w C:\Programme\AVG
2007-01-23 16:32 84,088 ----a-w C:\Dokumente und Einstellungen\P.Potsmoker\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-07-03 20:09 140,800 ----a-w C:\Programme\mozilla firefox\plugins\al2np.dll
2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Steam"="c:\programme\steam\steam.exe" [2008-10-08 1410296]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 458752]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2005-10-11 126976]
"CmUCRRun"="C:\WINDOWS\system32\CmUCReye.exe" [2005-10-12 241664]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2005-10-21 139264]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 504080]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-09 180269]
"AdaptecDirectCD"="C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" [2001-10-09 655360]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-10-09 98304]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 8491008]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 81920]
"NSLauncher"="C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-08-02 3096576]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 C:\WINDOWS\RTHDCPL.EXE]
"CHotkey"="mHotkey.exe" [2004-06-03 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2003-07-21 C:\WINDOWS\CNYHKey.exe]
"nwiz"="nwiz.exe" [2007-09-17 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
GetRight - Tray Icon.lnk - C:\Programme\GetRight\getright.exe [2005-12-05 2174976]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.VP31"= vp31vfw.dll
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\Skype\\Phone\\Skype.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Shareaza\\Shareaza.exe"=
"D:\\games\\battlefield 2\\BF2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-12-17 730880]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 72320]
S2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-10-17 826112]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 pfsvgae;pfsvgae;C:\DOKUME~1\P529D~1.POT\LOKALE~1\Temp\pfsvgae.sys [ ]
S3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-12-09 26112]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Inhalt des "geplante Tasks" Ordners
2008-10-19 C:\WINDOWS\Tasks\AE081C67918B8D2B.job
- c:\dokume~1\p529d~1.pot\anwend~1\option~1\meow mess ping.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-AOLMIcon - C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
HKLM-Run-BDSwitchAgent - C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
HKLM-Run-WinampAgent - C:\Programme\Winamp\Winampa.exe
HKLM-Run-DAEMON Tools - C:\Programme\DAEMON Tools\daemon.exe
HKLM-Run-BDAgent - C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\P.Potsmoker\Anwendungsdaten\Mozilla\Firefox\Profiles\35jfb8rg.Standard-Benutzer\
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 21:23:12
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
Zeit der Fertigstellung: 2008-10-20 21:28:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-20 19:28:11
Vor Suchlauf: 1.989.836.800 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 13,949,358,080 Bytes frei
181
nochmal vielen Dank für die schnelle und superkompetente Hilfe  |
|
21.10.2008, 06:44
| #5 | |
| | Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE Hi, gemach, gemach... Wir haben da noch einiges zu tun... Hast Du MAM alles bereinigen lassen? Im Combofix log tauchen Sachen auf, die noch zu überprüfen sind! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\DOKUME~1\P529D~1.POT\LOKALE~1\Temp\pfsvgae.sys
C:\WINDOWS\system32\TDSSkfrm.dll
C:\WINDOWS\system32\TDSSfccf.dll
C:\WINDOWS\system32\TDSSmriv.dll
C:\WINDOWS\system32\TDSSxbad.dll
C:\WINDOWS\system32\TDSSnirj.dat
C:\WINDOWS\system32\mgxasio2.dll
C:\WINDOWS\system32\DLLDEV32i.dll
C:\WINDOWS\system32\Smab0.dll
c:\dokume~1\p529d~1.pot\anwend~1\option~1\meow mess ping.exe
Falls Files nicht erkannt wurden unten rausnehmen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
c:\dokume~1\p529d~1.pot\anwend~1\option~1\meow mess ping.exe
C:\WINDOWS\Tasks\AE081C67918B8D2B.job
C:\DOKUME~1\P529D~1.POT\LOKALE~1\Temp\pfsvgae.sys
C:\WINDOWS\system32\TDSSkfrm.dll
C:\WINDOWS\system32\TDSSfccf.dll
C:\WINDOWS\system32\TDSSmriv.dll
C:\WINDOWS\system32\TDSSxbad.dll
C:\WINDOWS\system32\TDSSnirj.dat
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Anschließend Dr. Web AviraAntirootkit&Gmer: Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Dannach ebenfalls im abgesicherten Modus noch Drweb CureIT reinigen lassen: ds http://freedrweb.com/?lng=de Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten! MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
22.10.2008, 13:57
| #6 |
| | Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE ui, is ja doch noch mehr als ich dachte  also mit malewarebytes hatte ich einen komplettscan gemacht und nichts mehr gefunden. hier die logs von Virustotal: Code:
ATTFilter Datei TDSSkfrm.dll empfangen 2008.10.22 13:57:48 (CET)
Status: Beendet
Ergebnis: 9/36 (25%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 Win32/Heur
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 Backdoor.Win32.TDSS.aru
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 Trojan-Downloader.Win32.Renos.AQ
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 Backdoor.Win32.TDSS.aru
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 TrojanDownloader:Win32/Renos.gen!AQ
NOD32 3545 2008.10.22 Win32/Agent.ODG
Norman 5.80.02 2008.10.22 W32/Smalldoor.CRRO
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.21 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 Backdoor.Trojan
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.21 -
weitere Informationen
File size: 36864 bytes
MD5...: d68510fa4a59413d7b7a4add74c59358
SHA1..: 7e9c4706af751b8cbe1840277217e28cd461c7c4
SHA256: 7870878144a576476720889f169baa502f326b355c8b07a087047699dcb79701
SHA512: ae1ed5f4a30a7899161ad2bd56338e628317952baf63beb436bc310944aaa1e0
2d03d62476f61d92fe2588ca3ab272b2bc8613dba4aa8d8abc1f7e900e37a60f
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100010d5
timedatestamp.....: 0x48f8a297 (Fri Oct 17 14:35:03 2008)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x73c8 0x1600 5.06 45a371a35d5bb0a5f47e98cd7448f51c
.data 0x9000 0x72b4 0x6800 7.99 bfbdf0f22f4e3df2e8414c762d4dc0c6
.rsrc 0x11000 0x1000 0x600 1.81 a8be3bd1860cb49bcc0e6b995dd1eb4a
.idata 0x12000 0x1884 0x800 2.43 88e070d45cc4846e1cb7b3b7dacbb068
.reloc 0x14000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> kernel32.dll: GlobalMemoryStatusEx, ScrollConsoleScreenBufferW, SetProcessPriorityBoost, EnumDateFormatsExW, InitializeCriticalSection, GetPrivateProfileStringW, FlushViewOfFile, LocalFree, DnsHostnameToComputerNameW, GetDateFormatW, SetConsoleNumberOfCommandsW, InterlockedCompareExchange, ReplaceFile, GetSystemTimeAsFileTime, OpenWaitableTimerW, WriteProfileStringA, ScrollConsoleScreenBufferW, GetCommandLineA, ExitProcess, GetStartupInfoA
( 3 exports )
Helriilhe, AddSjijosyyo, Tmfgrebndjk
Datei TDSSfccf.dll empfangen 2008.10.22 14:03:45 (CET)
Status: Beendet
Ergebnis: 9/36 (25%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 W32/Virtumonde.J.gen!Eldorado
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 BHO.FYB
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 Backdoor.Win32.TDSS.arr
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 Trojan-Downloader.Win32.Renos.AQ
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 Backdoor.Win32.TDSS.arr
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 Trojan:Win32/Sudiet.B
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 W32/Renos.BKL
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.21 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 Backdoor.Tidserv
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.21 -
weitere Informationen
File size: 31232 bytes
MD5...: 66166b501ac3eb4bbf90c8e08c1caefb
SHA1..: 3fefcc8ffd14830defc0314e443db219eb49e8d2
SHA256: 2874e02e753761302be0db52003e583cd54e84b480138471cffce1ea00ec8e38
SHA512: 8dd08583c35dfafd0d6e6ffed11807673bfe1b4ce54037e51df82362827ba977
4014fe11432db0bb1236060c19ecbb3b3b318beb41c9eab5e5c4f57667a788f1
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x48f8a289 (Fri Oct 17 14:34:49 2008)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x41d4 0x1600 5.13 ccab44e7438e564d12713f2257bd681e
.data 0x6000 0x5fac 0x5200 7.99 8f9e013007d60cdf9c787561e6d8efd5
.rsrc 0xc000 0x1000 0x600 1.78 9a965b3ff446401c0781f52927013797
.idata 0xd000 0x1c00 0x800 1.58 101b5d71aec4d423539f461988726e7d
.reloc 0xf000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> kernel32.dll: HeapAlloc, GetStdHandle, SetSystemPowerState, GlobalUnlock, UpdateResourceW, ReadConsoleA, SetSystemPowerState, SetConsolePalette, SystemTimeToFileTime, SetEvent, SetStdHandle, GetFileAttributesExW, VerifyConsoleIoHandle, GetCommandLineA, ExitProcess, GetStartupInfoA
( 1 exports )
Sldcuyb
Datei TDSSmriv.dll empfangen 2008.10.22 14:06:29 (CET)
Status: Beendet
Ergebnis: 8/36 (22.23%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 BHO.FXZ
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 Backdoor.Win32.TDSS.arv
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 Trojan-Downloader.Win32.Renos.AQ
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 Backdoor.Win32.TDSS.arv
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 TrojanDownloader:Win32/Renos.gen!AQ
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 W32/Smalldoor.CRRN
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 Backdoor.Trojan
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 29696 bytes
MD5...: f33c5c403a3327e25eafbfab40cb0f4f
SHA1..: 41cd358acf926eed39f06e71ce9749dace221767
SHA256: f04e337db88fedb885fe35c16073184997de9ac518a97bb43b5fbd27656fc952
SHA512: 4c7f8db13d3b3dd9946887465c65150c0f65b23cfc0e3cf8c7ef59e0387a0f48
c99a9caa6c1e4f3660d945cbf9054c33b6c88d932e296e212495a4398ea7d88d
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10001d87
timedatestamp.....: 0x48f896f0 (Fri Oct 17 13:45:20 2008)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x448c 0x1600 5.05 d489951be9114db298bf224c510fcee0
.data 0x6000 0x56a8 0x4c00 7.99 cc6fd0106d0381db83b8a1ba488ed817
.rsrc 0xc000 0x1000 0x600 1.77 ffbeffea71338adde0175c3988f07970
.idata 0xd000 0x1cd4 0x800 2.09 e90012f3d599c3541da6bc7b089f42b3
.reloc 0xf000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> kernel32.dll: CmdBatNotification, LocalFlags, GetCurrentDirectoryA, CreateProcessInternalA, CreateWaitableTimerA, RtlZeroMemory, InitAtomTable, GlobalAddAtomW, CreateHardLinkW, _llseek, OpenEventW, DefineDosDeviceW, SetConsoleOS2OemFormat, EnumUILanguagesW, GetProcessAffinityMask, CancelDeviceWakeupRequest, GetConsoleDisplayMode, Toolhelp32ReadProcessMemory, GetCommandLineA, ExitProcess, GetStartupInfoA
( 1 exports )
Xouhimcq
Datei TDSSxbad.dll empfangen 2008.10.22 14:09:49 (CET)
Status: Beendet
Ergebnis: 2/36 (5.56%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6162 2008.10.21 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 Vundo.DZC
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 Vundo.DZC
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 3530 bytes
MD5...: 567d6404d2eda5c744bcd4ce9aebfcda
SHA1..: 9c754590b7d000b03dd1b89f3ca660cd7d0edda2
SHA256: 1e157d10347e58a6babf86e77d067d13c332be8d74e3999d8304da1604ead2b9
SHA512: e67d30d4d586b5f3c498170c2af3bafb3a027bdff853e561176b5788cdab70c3
0ddd41a1296b16b3e6041def83c1058d11461a82702fe522af956213b1905243
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
Datei TDSSnirj.dat empfangen 2008.10.22 14:12:48 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 164 bytes
MD5...: f84dfa0243913e0cba743399c7f2760a
SHA1..: 1ead183a5ee08f64a6c08e0f2c8505631ef3a3f0
SHA256: f5945deb4bc05c98af629036b77524db44b063c62c425fa7c3a583eddb5260de
SHA512: 90ed6ee3535033a2f7c1ca504e85dd2cc800f4516381e04e35d654a4176f79f7
5cd197a48d32b8b0137d7949567bd6921ae3000e047a8cdb5fe08872000d11fe
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
Datei mgxasio2.dll empfangen 2008.10.22 14:15:36 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 53248 bytes
MD5...: dc2c5204eb2ab27aff5787a80a4cb2b1
SHA1..: 9e82bb858fb69e59a70591ce751d3a19f7ae2630
SHA256: a1fc888328ce342122d35cdcbd9607dc4a783bdaf81a23777dcfa7065526e5b8
SHA512: 7c0a0252d8911c2935ee8343733d1a0df1528eb904cfa89c2e63b724dc8e6511
b687ea738ad1e83537a14341001ee57a647cf3773f7e548b152093d84488fc68
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40652c
timedatestamp.....: 0xb8e73692L (invalid)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x6000 0x5800 6.11 b3e039fdbc3ead3e38cd2c650d852c89
DATA 0x7000 0x107000 0xc00 4.07 50f9de2e0adeb32d863c97075a6128f5
.idata 0x10e000 0x1000 0xa00 4.31 9c9c5a845aaa7ee5deacab566c9f9b3c
.edata 0x10f000 0x1000 0x200 1.91 f2d5da649e96ead3afe27b42b5dd603e
.reloc 0x110000 0x1000 0x800 6.47 0916cb7212503515de88c63c40d7514a
.rsrc 0x111000 0x5000 0x4400 2.57 5604a0e123942ac9c54dc664dbb57cc4
( 8 imports )
> KERNEL32.dll: Sleep, PulseEvent, CreateEventA, InitializeCriticalSection, GetModuleHandleA, SetEvent, DeviceIoControl, VirtualAlloc, LeaveCriticalSection, EnterCriticalSection, GetModuleFileNameA, VirtualUnlock, WaitForMultipleObjects, ResetEvent, VirtualLock, GetCurrentProcess, GetProcessWorkingSetSize, SetProcessWorkingSetSize, FreeLibrary, CreateFileA, TerminateThread, VirtualFree, LoadLibraryA, WaitForSingleObject, SetThreadPriority, GetProcAddress, CloseHandle, GetCurrentThread, CreateThread
> USER32.dll: GetFocus, SendDlgItemMessageA, EndDialog, MessageBoxA, EnableWindow, SetFocus, KillTimer, SendMessageA, DialogBoxIndirectParamA, SetTimer, DialogBoxParamA, LoadBitmapA, ShowWindow, LoadIconA, GetDlgItem
> WINMM.dll: timeEndPeriod, timeBeginPeriod, timeGetTime
> COMCTL32.dll: ImageList_AddIcon, ImageList_Create
> ADVAPI32.dll: RegFlushKey, RegCloseKey, RegQueryValueExA, RegSetValueExA, RegDeleteKeyA, RegCreateKeyExA
> SETUPAPI.dll: SetupDiEnumDeviceInfo, SetupDiGetDeviceRegistryPropertyA, SetupDiOpenDeviceInterfaceRegKey, SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInterfaceAlias, SetupDiGetDeviceInterfaceDetailA, SetupDiEnumDeviceInterfaces, SetupDiGetClassDevsA
> KSUSER.dll: KsCreatePin
> SHELL32.dll: ShellExecuteA
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Datei DLLDEV32i.dll empfangen 2008.10.22 14:18:50 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Datei Smab0.dll empfangen 2008.10.22 14:20:57 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6163 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3545 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 27648 bytes
MD5...: 2cdfdd3019e885d32c0d7c47ec33f8b3
SHA1..: fa2c7ec1478056ba921c10b433359ef302b3eddd
SHA256: d4ceed9eeecab9ec14b0bbe3bff53285719295d2c6ba235496c7526890b0a6d2
SHA512: 5f4c9b451d8f2329465e61bbdb9b51fa7ac7207174595cbd16af6709cd36ea92
65270b58249b1cf1060c70c04ac8fb534580fbb28e5a38a61d0e3402e73dce5a
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification
Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x46495058 (Tue May 15 06:16:56 2007)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x4800 7.98 1ff33590ef20d67a1b10a5ce2fc53d96
.rsrc 0x15000 0x2000 0x2000 6.70 341f7944f03a8a170e0549e0cf9e9f9e
.reloc 0x17000 0x200 0x200 0.21 8f5b39eaff78f4364554d021fa93976c
( 3 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> msvcrt.dll: __dllonexit
> WSOCK32.DLL: WSAGetLastError
( 115 exports )
pthreadCancelableTimedWait, pthreadCancelableWait, pthread_attr_destroy, pthread_attr_getdetachstate, pthread_attr_getinheritsched, pthread_attr_getschedparam, pthread_attr_getschedpolicy, pthread_attr_getscope, pthread_attr_getstackaddr, pthread_attr_getstacksize, pthread_attr_init, pthread_attr_setdetachstate, pthread_attr_setinheritsched, pthread_attr_setschedparam, pthread_attr_setschedpolicy, pthread_attr_setscope, pthread_attr_setstackaddr, pthread_attr_setstacksize, pthread_barrier_destroy, pthread_barrier_init, pthread_barrier_wait, pthread_barrierattr_destroy, pthread_barrierattr_getpshared, pthread_barrierattr_init, pthread_barrierattr_setpshared, pthread_cancel, pthread_cond_broadcast, pthread_cond_destroy, pthread_cond_init, pthread_cond_signal, pthread_cond_timedwait, pthread_cond_wait, pthread_condattr_destroy, pthread_condattr_getpshared, pthread_condattr_init, pthread_condattr_setpshared, pthread_create, pthread_delay_np, pthread_detach, pthread_equal, pthread_exit, pthread_getconcurrency, pthread_getschedparam, pthread_getspecific, pthread_getw32threadhandle_np, pthread_join, pthread_key_create, pthread_key_delete, pthread_kill, pthread_mutex_destroy, pthread_mutex_init, pthread_mutex_lock, pthread_mutex_timedlock, pthread_mutex_trylock, pthread_mutex_unlock, pthread_mutexattr_destroy, pthread_mutexattr_getkind_np, pthread_mutexattr_getpshared, pthread_mutexattr_gettype, pthread_mutexattr_init, pthread_mutexattr_setkind_np, pthread_mutexattr_setpshared, pthread_mutexattr_settype, pthread_num_processors_np, pthread_once, pthread_rwlock_destroy, pthread_rwlock_init, pthread_rwlock_rdlock, pthread_rwlock_timedrdlock, pthread_rwlock_timedwrlock, pthread_rwlock_tryrdlock, pthread_rwlock_trywrlock, pthread_rwlock_unlock, pthread_rwlock_wrlock, pthread_rwlockattr_destroy, pthread_rwlockattr_getpshared, pthread_rwlockattr_init, pthread_rwlockattr_setpshared, pthread_self, pthread_setcancelstate, pthread_setcanceltype, pthread_setconcurrency, pthread_setschedparam, pthread_setspecific, pthread_spin_destroy, pthread_spin_init, pthread_spin_lock, pthread_spin_trylock, pthread_spin_unlock, pthread_testcancel, pthread_timechange_handler_np, pthread_win32_process_attach_np, pthread_win32_process_detach_np, pthread_win32_test_features_np, pthread_win32_thread_attach_np, pthread_win32_thread_detach_np, ptw32_get_exception_services_code, ptw32_pop_cleanup, ptw32_push_cleanup, sched_get_priority_max, sched_get_priority_min, sched_getscheduler, sched_setscheduler, sched_yield, sem_close, sem_destroy, sem_getvalue, sem_init, sem_open, sem_post, sem_post_multiple, sem_timedwait, sem_trywait, sem_unlink, sem_wait
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle, PECompact
|
|
22.10.2008, 14:01
| #7 |
| | Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE Avenger Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\dokume~1\p529d~1.pot\anwend~1\option~1\meow mess ping.exe" not found!
Deletion of file "c:\dokume~1\p529d~1.pot\anwend~1\option~1\meow mess ping.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\Tasks\AE081C67918B8D2B.job" deleted successfully.
Error: file "C:\DOKUME~1\P529D~1.POT\LOKALE~1\Temp\pfsvgae.sys" not found!
Deletion of file "C:\DOKUME~1\P529D~1.POT\LOKALE~1\Temp\pfsvgae.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\system32\TDSSkfrm.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSfccf.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSmriv.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSxbad.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSnirj.dat" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Avira AntiRootkit Code:
ATTFilter Avira AntiRootkit Tool - Beta (1.0.1.17)
========================================================================================================
- Scan started Mittwoch, 22. Oktober 2008 - 14:32:50
========================================================================================================
--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 116.41 GB
- Working disk free size : 5.30 GB (4 %)
--------------------------------------------------------------------------------------------------------
Scan task finished. No hidden objects detected!
--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 0/0
Processes: 0/0
Scan time: 00:00:00
--------------------------------------------------------------------------------------------------------
Active processes:
========================================================================================================
- Scan finished Mittwoch, 22. Oktober 2008 - 14:32:50
========================================================================================================
Code:
ATTFilter drweb cureit
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 1099
Infizierte Objekte: 0
Modifikationen: 0
Verdächtige: 0
Adware: 0
Dialers: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 4875 Kb/s
Dauer:: 00:00:40
mbr rootkit Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
puh,ich glaub das war erstma alles^^ |
|
22.10.2008, 14:13
| #8 |
| | Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE Hi, bitte MAM updaten und fullscan machen lassen. Zusätzlich mit Kaspersky-Online scanner scannen und noch ein RSIT-Log... Kaskpersky OnlineScanner http://www.kaspersky.com/de/virusscanner RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Rechner funzt nur im abgesicherten Modus TR/Fakealert.QE |
| abgesicherten modus, antivir, antivirus, avg, bho, browser, computer, defender, desktop, dll, einstellungen, excel, explorer, hijack, home, install.exe, internet, internet explorer, magix, nvidia, problem, rundll, software, solution, superantispyware, system, trojaner-board, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
