you have a security problem

easyman · 23.10.2008, 09:59

hallo zusammen,

bin neu hier

habe ein problem mein pc meldet mir ich hätte you have a security problem !!! wie werde ich es los ??? nur zur info bitte erklärkt es so das ich es wiklich verstehe... habe zwei linke hände in solchen sachen

Chris4You · 23.10.2008, 10:14

Hi,

bitte MAM anwenden, danach ein HJ-Log gemäß der Signatur (und vergiss nicht die pers. Info zu editieren):

Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html

HJ-Log (s. u.)

Poste das Log von MAM und HJ....

chris

easyman · 23.10.2008, 10:22

ok schaue durch bis gleichLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:03, on 23.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\jmesoft\jmehotkey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\DAP\DAP.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\tccargo\tccargo.exe
C:\DOKUME~1\++++\LOKALE~1\Temp\xxx7546.exe
C:\Programme\SECommon\OPTACToolAutoDld.exe
C:\DOKUME~1\++++\LOKALE~1\Temp\~tmpb.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\regsvr32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://beceriksizler.beep.to/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: offersfortoday browser enhancer - {7F54C802-E44D-C0BD-B170-4D1AAB4E1FCF} - C:\WINDOWS\system32\losrenfmzfxxcmpq.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: offersfortoday - {aceeeb62-8d1e-acc1-3522-5830e3543422} - C:\WINDOWS\system32\nse122.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [jmekey] C:\Programme\jmesoft\jmehotkey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BigDogPath321] C:\WINDOWS\TCONTROL.EXE
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [uunubfcxrg] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\losrenfmzfxxcmpq.dll"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart
O4 - HKCU\..\Run: [MSFox] C:\DOKUME~1\++++\LOKALE~1\Temp\xxx7546.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OPTACToolAuto.lnk = C:\Programme\SECommon\OPTACToolAutoDld.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h++p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166996063734
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - h++p://download.sopcast.++/download/SOPCORE.CAB
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - h++p://www.y++++.biz/yayin/ampx2.6.1.11_en_dl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h++p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - h++p://www.y++++.biz/codec/nsvplayx_vp6_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h++p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h++p://data.flatcast.com/NpFv415.dll
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h++p://messenger.z++.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - h++p://radyodinletv++.com/ampx_en_dl.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12390 bytes

Chris4You · 23.10.2008, 10:25

Hi,

bitte die pers. Infos und Links anpassen!
http://go.microsoft.com/fwlink/?LinkId=69157 -> h**p://....
und
Eigene Dokumente/Musterman/... -> Eigene Dokumente/XXX/...

Sonst darf nicht weiter geholfen werden:
Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-a...tml#post171958)

chris

Ps.:
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Programme\jmesoft\jmehotkey.exe
C:\DOKUME~1\I+++\LOKALE~1\Temp\xxx7546.exe
C:\DOKUME~1\I+++\LOKALE~1\Temp\~tmpb.exe
C:\WINDOWS\system32\losrenfmzfxxcmpq.dll
C:\WINDOWS\system32\nse122.dll
C:\WINDOWS\TCONTROL.EXE

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

[list]Poste im Anschluss das Ergeb

easyman · 23.10.2008, 11:21

C:\Programme\jmesoft\jmehotkey.exe (gefunden)
C:\DOKUME~1\I+++\LOKALE~1\Temp\xxx7546.exe (gefunden)
C:\DOKUME~1\I+++\LOKALE~1\Temp\~tmpb.exe (gefunden)
C:\WINDOWS\system32\losrenfmzfxxcmpq.dll (gefunden)
C:\WINDOWS\system32\nse122.dll (gefunden)
C:\WINDOWS\TCONTROL.EXE ?????? (nicht gefunden )

AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.23 -
Ikarus T3.1.1.44.0 2008.10.23 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 -
Rising 21.00.31.00 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1433 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 36864 bytes
MD5...: 3986c4d293466cc6a9eb9410b6839ae5
SHA1..: 013e28a7b793115f233b5fbd6c5508beb25605b7
SHA256: 8e8caed7ff686b9a391a2958213154fc5eb24fbbe9761e5dca4e0203483e3dfc
SHA512: 521061eeaac5ea1ef80ec01d88a9cabc66f818e3c8f4c7b9d294a8e0097e187f
4caa6ea6e2f056bb2f73b7260fecb87b9f2143261348593273cd3a44b42aba37
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403bd0
timedatestamp.....: 0x439a2faf (Sat Dec 10 01:30:23 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3002 0x4000 4.93 b2a7bf3fed5d2d4453f3795ec0779177
.rdata 0x5000 0x13a0 0x2000 3.51 9ee9d23cf6fcc2945b492f9797a05ae7
.data 0x7000 0x3f0 0x1000 1.02 48b691a2cd7a6e9d8f5f883dd0898466
.rsrc 0x8000 0xa58 0x1000 2.25 ceaee8952ba4590615f4f6956bb82365

( 10 imports )
> WINMM.dll: mixerGetLineInfoA, mixerGetControlDetailsA, mixerGetNumDevs, mixerOpen, mixerGetDevCapsA, mixerGetLineControlsA, mciSendCommandA
> SHLWAPI.dll: PathFileExistsA
> jmehid.dll: HandleUsbDeviceChange, OpenJMEHotkey
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _initterm, __set_app_type, _except_handler3, _controlfp, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _mbscmp, _splitpath, __CxxFrameHandler, _setmbcp, __getmainargs
> KERNEL32.dll: GetDriveTypeA, GetModuleFileNameA, WritePrivateProfileStringA, GetPrivateProfileStringA, GetVersionExA, GetModuleHandleA, GetStartupInfoA, GetLogicalDrives
> USER32.dll: GetSystemMenu, MapVirtualKeyA, SetForegroundWindow, GetParent, GetCursorPos, CheckMenuItem, GetSubMenu, LoadMenuA, FindWindowA, GetKeyState, SetTimer, AppendMenuA, keybd_event, DrawIcon, GetClientRect, GetSystemMetrics, IsIconic, InvalidateRect, KillTimer, SystemParametersInfoA, EnableWindow, SetWindowPos, SendMessageA, LoadImageA, LoadIconA, FindWindowExA, TrackPopupMenu, GetCapture
> GDI32.dll: CreateCompatibleDC, CreateCompatibleBitmap, CreateBitmap, GetObjectA, SelectObject, BitBlt, StretchBlt, SetBkColor, SetTextColor, DeleteDC, DeleteObject
> ADVAPI32.dll: RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: ShellExecuteA, Shell_NotifyIconA

( 0 exports )

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 TR/Dldr.Small.ids
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.23 Downloader.Zlob_r.CY
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 Trojan.DownLoad.8680
eSafe 7.0.17.0 2008.10.22 Suspicious File
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.23 -
Ikarus T3.1.1.44.0 2008.10.23 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 Downloader-BKM
Microsoft 1.4005 2008.10.23 TrojanDownloader:Win32/Renos.EN
NOD32 3548 2008.10.23 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 Fraudulent Security Program
Rising 21.00.31.00 2008.10.23 -
SecureWeb-Gateway 6.7.6 2008.10.23 Trojan.Dldr.Small.ids
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 Trojan.Fakeavalert
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 PAK_Generic.001
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1433 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 73732 bytes
MD5...: 1b5347374649f8fe14ed40d518767439
SHA1..: 169609b61e8a8fbb82e644256ea832cc0fc6a7d6
SHA256: ece60b8b10952531725c6783a0ab72b407c2c86c007339cafbc185d640314199
SHA512: 862aca380bb93944c90247fe2c1e4c8fd5c8e7db420e4a04c3fab81c2cdf6fa1
9248e2911c77d31ae197b53deaa50eebe7af7b2b392f06a29c2ac9a6250aa07f
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x42a7e0
timedatestamp.....: 0x48fee192 (Wed Oct 22 08:17:22 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x18000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x19000 0x12000 0x11a00 7.93 17e3b0f5d77ce3d6297002261a4c3645
UPX2 0x2b000 0x1000 0x200 4.07 2027ab95f0e72b86ab4f0ff00a9c0743

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegEnumKeyExA
> MSVCP71.dll: ___7ios_base@std@@6B@
> MSVCR71.dll: div
> ole32.dll: OleRun
> OLEAUT32.dll: -
> snmpapi.dll: SnmpUtilOidCpy

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D95D9F0304F7F4C1208F01587F880C00230B3DF4
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 Suspicious File
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 Trojan.Win32.Agent.aivw
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.23 -
Ikarus T3.1.1.44.0 2008.10.23 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 Trojan.Win32.Agent.aivw
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.23 -
NOD32 3547 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 Malicious Software
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 PAK_Generic.001
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 87552 bytes
MD5...: 3b858f096c34aa1e17e0437670455940
SHA1..: 89c0e6c119d91575794cc28e5766caca1d94545f
SHA256: 4070a00e520fe57551a3635b4deaf043786126f2330a2a1596e89504e79579ce
SHA512: 3372479d5c6278ce5b3236a69df8e99e9d38fcdd35cf3054b56004dac5c7e5f9
2f8fb24173ca55c9e8fc23e4d33d3a0b64a756408247dc7944bdbfcf5bb794ab
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x42e2e0
timedatestamp.....: 0x48fdf051 (Tue Oct 21 15:08:01 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1e000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1f000 0x10000 0xf600 7.91 7ddfbeab77a0713797dd54eefada34e8
.rsrc 0x2f000 0x6000 0x5c00 5.21 329a76639c7d5d31b8e2d5eec36a2bb8

( 10 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ATL.DLL: -
> GDI32.dll: GetStockObject
> MFC42.DLL: -
> MSVCP60.dll: __Xran@std@@YAXXZ
> MSVCRT.dll: rand
> ole32.dll: OleRun
> OLEAUT32.dll: -
> USER32.dll: ShowWindow
> WS2_32.dll: -

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=3b858f096c34aa1e17e0437670455940
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4DC3E70B00F8470F562D0160EEA57400D765962C
packers (F-Prot): UPX

AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.22 Win32:Adload-LN
AVG 8.0.0.161 2008.10.23 Adload_r.CL
BitDefender 7.2 2008.10.23 Trojan.BHO.ODQ
CAT-QuickHeal 9.50 2008.10.23 Trojan.Agent.gen
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 -
Fortinet 3.113.0.0 2008.10.22 Adware/AdClicker
GData 19 2008.10.23 Trojan.BHO.ODQ
Ikarus T3.1.1.44.0 2008.10.23 Virus.Win32.Adload.LN
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 Adware:Win32/AdRotator
NOD32 3548 2008.10.23 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 Fraudulent Security Program
Rising 21.00.31.00 2008.10.23 Trojan.Win32.Undef.rqu
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1433 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 171520 bytes
MD5...: 4248191f297018088b7784d8ecbfbb47
SHA1..: 4d9774cc632df6060362e968671ef33d7e62c09b
SHA256: 9de328ca9fc4c32697ded33ab16b2b3b397cd44b723d4793ebfec6b3e2aeffd6
SHA512: 8f4f0c45d6472e3b3a2262ad9f7e8e236015c5679e5eda5acebf85a7cfbea66a
17b459ca000581b70629d6ae5728b2ee3b15c67fde571e00c512c01260d11d64
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000f988
timedatestamp.....: 0x48f4c799 (Tue Oct 14 16:23:53 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e988 0x1ea00 6.69 5ef8e242554fe1dfc316ed12ded737f0
.rdata 0x20000 0x6bd5 0x6c00 5.42 59270a2146f27bcb2d6a6c60de77fb71
.data 0x27000 0x33e4 0x1800 3.92 accdc3c077b67eb622c2cccbcfdd9154
.rsrc 0x2b000 0x34c 0x400 4.68 bcfd57d29b0a8d132b3dfb2d389fc812
.reloc 0x2c000 0x26e6 0x2800 4.95 c7ef7acda5912255503d80725e7cc9d7

( 8 imports )
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> SHLWAPI.dll: StrCmpIW, StrStrIW, PathStripPathW, UrlEscapeW, SHDeleteKeyW
> KERNEL32.dll: ExitThread, WaitForSingleObject, CreateThread, Sleep, GetModuleFileNameW, OpenMutexW, GetSystemTime, CreateEventW, OpenProcess, CreateMutexW, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpW, SystemTimeToFileTime, GetLocalTime, LocalFree, LoadLibraryA, FreeLibrary, ExpandEnvironmentStringsW, WideCharToMultiByte, MultiByteToWideChar, GetTempFileNameW, GetTickCount, GetEnvironmentVariableW, LocalAlloc, LoadLibraryW, GetVolumeInformationW, GetWindowsDirectoryW, GetSystemInfo, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, GetProcAddress, CreateProcessW, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrlenW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, VirtualQuery, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, ExitProcess, HeapSize, GetModuleHandleA, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError
> USER32.dll: RealGetWindowClassW, CallWindowProcW, SetWindowLongW, SetPropW, GetWindowThreadProcessId, EnumChildWindows, PostMessageW, SendMessageW, GetWindowTextW, RemovePropW, SetWindowTextW, OffsetRect, IntersectRect, SetActiveWindow, ClientToScreen, PeekMessageW, MsgWaitForMultipleObjects, TranslateMessage, DispatchMessageW, GetClassNameW, GetPropW, InflateRect
> ADVAPI32.dll: CryptGetHashParam, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, CryptGenRandom, CryptAcquireContextW, CryptCreateHash, CryptHashData, CryptDestroyHash, CryptReleaseContext, RegQueryValueExW, RegCreateKeyW, RegCreateKeyExW, RegSetValueW, RegDeleteValueW, RegOpenKeyExW, RegSetValueExW, RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=2405548C00CB27B09EC20284931DC00096B42CE5

AhnLab-V3 2008.10.22.0 2008.10.23 Win-Trojan/Xema.variant
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.23 -
Ikarus T3.1.1.44.0 2008.10.23 BHO.Win32.Fotomoto
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 BrowserModifier:Win32/Fotomoto
NOD32 3548 2008.10.23 probably a variant of Win32/Adware.AdzgaloreBiz
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 Malicious Software
Rising 21.00.31.00 2008.10.23 Trojan.Win32.Vapsup.evj
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1434 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 364544 bytes
MD5...: cfe34ba11e5c69683a7fa782b7cfabad
SHA1..: 2544b1ef2c3b9f733782e1bd140a91720c47a2d4
SHA256: 9747e53c11a8f3e5cfa0eb349880a7c569b253bbf8eb4d873fffd89b4b08d843
SHA512: 2eb26e26a243b0b0a8d5f27d5ff79238a373294bd2ad87c678a674061109dd1f
68ee695055c998184934c9e496f9a766bd2215e90b013201f0a536283f4803b1
PEiD..: -
TrID..: File type identification
DirectShow filter (58.4%)
Win64 Executable Generic (24.8%)
Win32 Executable MS Visual C++ (generic) (10.9%)
Win32 Executable Generic (2.4%)
Win32 Dynamic Link Library (generic) (2.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10028ec1
timedatestamp.....: 0x48eccb30 (Wed Oct 08 15:01:04 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4171d 0x41800 6.62 4cf9e88169cf1b6305cf04e1afbbd8e5
.rdata 0x43000 0x10c9a 0x10e00 5.75 dcfa2c57615089ddcbef31be2dbdb081
.data 0x54000 0x399c 0x1800 3.69 19f02c10ebee0b22d94ab2a8b2b42c54
.rsrc 0x58000 0x4a0 0x600 4.53 b2676485471934daa6e4f36863bc80ea
.reloc 0x59000 0x4638 0x4800 5.22 798b6c56931b7e5852a6281feaea6c3c

( 13 imports )
> SHLWAPI.dll: StrCmpIW, UrlEscapeW, UrlGetPartW, StrStrIW, PathMatchSpecW, UrlUnescapeW
> WININET.dll: HttpOpenRequestW, InternetCloseHandle, InternetReadFile, InternetQueryOptionW, HttpQueryInfoW, InternetSetCookieW, InternetOpenW, InternetSetOptionW, HttpSendRequestW, InternetCrackUrlW, InternetConnectW
> KERNEL32.dll: SetEndOfFile, CreateFileA, GetModuleHandleA, GetTimeZoneInformation, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, InitializeCriticalSectionAndSpinCount, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, GetCurrentDirectoryA, SetFilePointer, GetDateFormatA, GetTimeFormatA, FlushFileBuffers, GetConsoleMode, GetConsoleCP, ReadFile, IsValidCodePage, GetOEMCP, GetACP, GetCurrentProcessId, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetModuleFileNameA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, HeapReAlloc, VirtualAlloc, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, HeapSize, GetProcessHeap, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetModuleHandleW, GetFullPathNameW, GetTempFileNameW, GetFileSize, MapViewOfFile, UnmapViewOfFile, VirtualQuery, CreateFileW, LocalAlloc, CreateFileMappingW, CloseHandle, LocalFree, WaitForSingleObject, TerminateThread, Sleep, SetThreadPriority, GetExitCodeThread, FreeLibrary, WriteFile, GetProcAddress, LoadLibraryA, DeleteFileW, WideCharToMultiByte, lstrlenW, GetTempPathW, GetSystemInfo, GetWindowsDirectoryW, GetVolumeInformationW, CreateMutexW, CreateProcessW, GetTickCount, ReleaseMutex, GetSystemTime, MoveFileExW, SetEnvironmentVariableA, HeapAlloc, GetModuleFileNameW, MultiByteToWideChar, SetLastError, lstrcmpW, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetLastError, GetCPInfo, LCMapStringW, LCMapStringA, RtlUnwind, RaiseException, FindFirstFileW, InterlockedDecrement, InterlockedIncrement, GetDriveTypeA, CompareStringA, CompareStringW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, GetCurrentThreadId, GetCommandLineA, GetSystemTimeAsFileTime, ExitThread, CreateThread, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeW
> USER32.dll: wsprintfW, SetWindowTextW, SetWindowPos, CallWindowProcW, SetWindowLongW, SendMessageW, GetWindowTextW, RealGetWindowClassW, EnumChildWindows, GetWindowLongW
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WS2_32.dll: -
> VERSION.dll: VerQueryValueW, GetFileVersionInfoW, GetFileVersionInfoSizeW
> RPCRT4.dll: RpcStringFreeW, UuidToStringW
> urlmon.dll: UrlMkGetSessionOption
> imagehlp.dll: MapAndLoad, UnMapAndLoad
> ADVAPI32.dll: CryptGetHashParam, CryptDestroyHash, CryptDecrypt, CryptDestroyKey, CryptCreateHash, CryptEncrypt, CryptDeriveKey, RegSetValueExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyW, CryptGenRandom, CryptReleaseContext, CryptAcquireContextW, CryptHashData
> SHELL32.dll: SHCreateDirectoryExW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4E9CB21D003845C5908905A7385CB300BA22A9D1

C:\WINDOWS\TCONTROL.EXE diese datei hab ich nicht gefunden ????

easyman · 23.10.2008, 11:48

Nur zur info es ist weck

nach dem mam scann runter gefahren wie empfohlen dann weck

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1308
Windows 5.1.2600 Service Pack 3

23.10.2008 12:24:11
mbam-log-2008-10-23 (12-24-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 149715
Laufzeit: 1 hour(s), 4 minute(s), 24 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 11
Infizierte Dateien: 16

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\~tmpb.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7f54c802-e44d-c0bd-b170-4d1aab4e1fcf} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7f54c802-e44d-c0bd-b170-4d1aab4e1fcf} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{aceeeb62-8d1e-acc1-3522-5830e3543422} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{aceeeb62-8d1e-acc1-3522-5830e3543422} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSFox (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Hotbar (Adware.Hotbar) -> Quarantined and deleted successfully.
C:\Programme\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Programme\ShoppingReport\Bin (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Programme\ShoppingReport\Bin\2.0.21 (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Programme\ShoppingReport\cs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\db (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\report (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\res2 (Adware.Shopping.Report) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\~tmpb.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\~tmpa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{151B1E82-B6C9-4145-B9A8-B3F6E2BAF129}\RP556\A0102979.dll (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Programme\ShoppingReport\Uninst.exe (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Programme\ShoppingReport\cs\persist.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\persist.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\G+++++\Anwendungsdaten\ShoppingReport\cs\res2\WhiteList.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\xxx7546.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\losrenfmzfxxcmpq.dll (Adware.BHO) -> Delete on reboot.
C:\WINDOWS\system32\nse122.dll (Adware.BHO) -> Delete on reboot.

Chris4You · 23.10.2008, 12:18

Hi,

einiger der Sachen waren in der Systemwiederherstellung, die muss daher noch sicherheitshalber bereinigt werden (wenn der Rechner gut läuft);

Prüfe ob die Datei hier liegt:
C:\TCONTROL.EXE

Bitte noch ein Scan mit Prevx:
http://www.prevx.com/freescan.asp
Log ggf. posten...

chris

easyman · 23.10.2008, 12:25

hi, C:\TCONTROL.EXE
diese datei findet er nicht :-(

easyman · 23.10.2008, 12:30

Zitat:

Zitat von Chris4You

Hi,

einiger der Sachen waren in der Systemwiederherstellung, die muss daher noch sicherheitshalber bereinigt werden (wenn der Rechner gut läuft);

Prüfe ob die Datei hier liegt:
C:\TCONTROL.EXE

Bitte noch ein Scan mit Prevx:
http://www.prevx.com/freescan.asp
Log ggf. posten...

chris

da kannst du recht haben den ich wollte gestern eine Systemwiederherstellung machen ging nicht... scan läuft mal schauen was raus kommt

Chris4You · 23.10.2008, 12:30

Hmm,

im Log tauch sie auf...

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Hijackthis, fixen:
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)

Zitat:

O4 - HKLM\..\Run: [BigDogPath321] C:\WINDOWS\TCONTROL.EXE

Poste beide Logs...
Und danach ein neues HJ-Log...

chris

easyman · 23.10.2008, 12:44

Prevx Scan Log - Version v3.0.0.136
Log Generated: 23/10/2008 13:37, Type: 0,0
Some non-malicious files are not included in this log.

Last Scan: Thu 2008-10-23 13:35:45 Westeuropäische Sommerzeit. Number of Scans: 2
[B] C:\WINDOWS\system32\wbsecsvc.exe [PX5: 8251C1F500E38A5FB003039FCD70A2003D6889D9] Malware Group: Malicious Software
[BP] C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\xxx7565.exe [PX5: D95D9F0304F7F4C1208F01587F880C00230B3DF4] Malware Group: Fraudulent Security Program
[BP] C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\xxx1287.exe [PX5: D95D9F0304F7F4C1208F01587F880C00230B3DF4] Malware Group: Fraudulent Security Program
[BP] C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\xxx6741.exe [PX5: D95D9F0304F7F4C1208F01587F880C00230B3DF4] Malware Group: Fraudulent Security Program
[BP] C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\xxx242.exe [PX5: D95D9F0304F7F4C1208F01587F880C00230B3DF4] Malware Group: Fraudulent Security Program
[BP] C:\Dokumente und Einstellungen\I+++\Lokale Einstellungen\Temp\xxx5382.exe [PX5: D95D9F0304F7F4C1208F01587F880C00230B3DF4] Malware Group: Fraudulent Security Program

Chris4You · 23.10.2008, 13:00

Hi,

wir putzen noch mal, danach wieder PrevX:

Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

Neues HJ-Log und PrevX-SCan, was macht Avira-Rootkit?

chris

easyman · 23.10.2008, 13:06

hab es runter geladen und scanne gerade wird dauern so 35 min denek ich alles andere mache ich jetzt nocmal bis gleich

easyman · 23.10.2008, 13:30

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:58, on 23.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\jmesoft\jmehotkey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\DAP\DAP.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\tccargo\tccargo.exe
C:\Programme\SECommon\OPTACToolAutoDld.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht++p://beceriksizler.beep.to/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [jmekey] C:\Programme\jmesoft\jmehotkey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [uunubfcxrg] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\losrenfmzfxxcmpq.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OPTACToolAuto.lnk = C:\Programme\SECommon\OPTACToolAutoDld.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h++p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166996063734
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - h++p://download.sopcast.com/download/SOPCORE.CAB
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://www.yayin+++.biz/yayin/ampx2.6.1.11_en_dl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h++p://messenger.zo++.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.yayi+++.biz/codec/nsvplayx_vp6_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h++p://fpdownload2.macrome++.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h##p://data.flatcast.com/NpFv415.dll
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h++p://messeng+.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - h++p://radyodinletviz++.com/ampx_en_dl.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11296 bytes

easyman · 23.10.2008, 14:18

vira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. Oktober 2008 14:05

Es wird nach 1704573 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: S+++++
Computername: E+++++

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 18:45:04
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 18:45:04
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 18:45:04
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 18:45:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 20:32:12
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 21:25:35
ANTIVIR2.VDF : 7.0.7.59 4366336 Bytes 19.10.2008 12:21:49
ANTIVIR3.VDF : 7.0.7.75 148480 Bytes 22.10.2008 20:12:40
Engineversion : 8.2.0.5
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 10:16:13
AESCRIPT.DLL : 8.1.1.9 319867 Bytes 17.10.2008 10:16:54
AESCN.DLL : 8.1.1.3 123252 Bytes 16.10.2008 10:16:11
AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 00:26:35
AEPACK.DLL : 8.1.2.4 369014 Bytes 16.10.2008 10:16:10
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 16.10.2008 10:16:09
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 19.09.2008 00:26:33
AEHELP.DLL : 8.1.1.2 115062 Bytes 16.10.2008 10:16:09
AEGEN.DLL : 8.1.0.41 319861 Bytes 16.10.2008 10:16:08
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 10:16:07
AECORE.DLL : 8.1.2.6 172406 Bytes 16.10.2008 10:16:07
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 10:16:06
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 18:45:04
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 18:45:04
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:05:58
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 18:45:04
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 20:23:12
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 18:45:04
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 20:23:12
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 18:45:04
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 20:23:12
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 18:45:02
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 18:45:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 23. Oktober 2008 14:05

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPTACToolAutoDld.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tccargo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DAP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Quickcam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Communications_Helper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EOUWiz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSTA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jmehotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevxcsi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wbsecsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevxcsi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '58' Prozesse mit '58' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '68' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WIN XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{151B1E82-B6C9-4145-B9A8-B3F6E2BAF129}\RP556\A0102997.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493170a2.qua' verschoben!
C:\System Volume Information\_restore{151B1E82-B6C9-4145-B9A8-B3F6E2BAF129}\RP556\A0103034.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493170ac.qua' verschoben!
C:\System Volume Information\_restore{151B1E82-B6C9-4145-B9A8-B3F6E2BAF129}\RP556\A0103035.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493170b0.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Depo>

Ende des Suchlaufs: Donnerstag, 23. Oktober 2008 15:14
Benötigte Zeit: 1:09:48 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7556 Verzeichnisse wurden überprüft
401327 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
401322 Dateien ohne Befall
5259 Archive wurden durchsucht
2 Warnungen
3 Hinweise

you have a security problem

Log-Analyse und Auswertung: you have a security problem