Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus in Babylon31.exe ???

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.10.2008, 08:59   #1
tinimini
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Hallo Zusammen,

ich kenne mich mit Computer-Viren überhaupt nicht aus und hatte bisher auch glücklicherweise noch keine. Doch jetzt habe ich beim Virenscan mit Avira folgende Virenmeldungen bekommen und bin ratlos was zu tun ist:

1.
Unter c:\System Volumen Information\_restore{43BCF27A-5C15-4BCF-979E-8D4EE74FB438}\RP842\A0356892.exe

wurde der TR/Dropper-Gen gefunden. Über Explorer kann ich diese Datei aber nicht finden. Darf ich sie einfach mit dem Virenscanner löschen oder hat diese Datei irgendeine Bewandnis?

2.
Dann noch in der Babylon31.exe. Diese enthält Erkennungsmuster des Droppers DR/Cydoor A 57

Diese Datei habe ich bei Virustotal hochgeladen und folgende Meldungen bekommen:

Datei babylon31.exe empfangen 2008.10.28 13:52:28 (CET)
Status: Beendet
Ergebnis: 23/36 (63.89%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.28 -
AntiVir 7.9.0.9 2008.10.28 DR/Cydoor.A.18
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.28 Win32:Spyware-gen
AVG 8.0.0.161 2008.10.28 Generic.MBP
BitDefender 7.2 2008.10.28 Adware.Savenow.I
CAT-QuickHeal 9.50 2008.10.28 -
ClamAV 0.93.1 2008.10.28 Adware.Cydoor-1
DrWeb 4.44.0.09170 2008.10.28 Adware.SaveNow
eSafe 7.0.17.0 2008.10.27 Spyware.Cydoor
eTrust-Vet 31.6.6177 2008.10.28 -
Ewido 4.0 2008.10.28 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.28 AdWare.Win32.Cydoor
Fortinet 3.117.0.0 2008.10.28 Adware/CyDoor
GData 19 2008.10.28 Adware.Savenow.I
Ikarus T3.1.1.44.0 2008.10.28 not-a-virus:AdWare.Win32.Cydoor
K7AntiVirus 7.10.510 2008.10.28 -
Kaspersky 7.0.0.125 2008.10.28 not-a-virus:AdWare.Win32.Cydoor
McAfee 5416 2008.10.28 potentially unwanted program Adware-CyDoor
Microsoft 1.4005 2008.10.28 Adware:Win32/WhenU.A
NOD32 3562 2008.10.28 a variant of Win32/Adware.NdotNet
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.28 Adware/Cydoor
PCTools 4.4.2.0 2008.10.28 Adware.Cydoor!sd5
Prevx1 V2 2008.10.28 Malicious Software
Rising 21.01.12.00 2008.10.28 -
SecureWeb-Gateway 6.7.6 2008.10.28 Trojan.Dropper.Cydoor.A.18
Sophos 4.35.0 2008.10.28 Cydoor
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.28 Adware.Cydoor
TheHacker 6.3.1.1.132 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.28 -
VBA32 3.12.8.8 2008.10.27 AdWare.Win32.Cydoor
ViRobot 2008.10.28.1441 2008.10.28 -
VirusBuster 4.5.11.0 2008.10.27 Adware.Cydoor.K
weitere Informationen
File size: 1840269 bytes
MD5...: 125ed4ff91efe14ba37a6f9e65702579
SHA1..: c36d84bbaf7f18978d0b36a7e09a1eeabb10378f
SHA256: 5734c3d1abaae35e0f315b5a35bd9a5d493b67d2642b43143ca253d339524bb0
SHA512: 683902416a5c5b75d046d33e80a1830ed9fb270e2ea6c725a046a66be1d8aa7a
cbce73435556f9752a31ea0e786f20c91c03539b42aa3ef52a055bb3d7bb5885
PEiD..: WinZip 32-bit SFX v6.x module
TrID..: File type identification
Winzip Win32 self-extracting archive (generic) (40.8%)
Windows Screen Saver (23.2%)
Win32 Executable Generic (15.1%)
Win32 Dynamic Link Library (generic) (13.4%)
Generic Win/DOS Executable (3.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4032aa
timedatestamp.....: 0x33cccd7b (Wed Jul 16 13:32:43 1997)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3f9e 0x4000 6.30 9a9129e4826a2368801cc1e5d03a716c
.rdata 0x5000 0x94 0x200 1.84 7d1c8bfd1de988babb90abb9757fae91
.data 0x6000 0x1585 0xc00 6.83 d2fb304ff06d68bc40b16f867e7689eb
.idata 0x8000 0x9f2 0xa00 5.18 1f916cb6dd7ac5035830e9fcce687432
.rsrc 0x9000 0x504 0x600 3.26 a182705b420f73d72d2e7d721caf73b5
.reloc 0xa000 0x80c 0xa00 5.54 aaf181c8095dacb8126cb2703029685a
_winzip_ 0xb000 0x1bb000 0x1ba800 8.00 c6dade40713fcfa2ee80d8cb2144f8d1

( 3 imports )
> USER32.dll: SetRect, GetMessageA, DefWindowProcA, BeginPaint, GetWindowWord, EndPaint, SetWindowWord, LoadIconA, RegisterClassA, OemToCharA, SetWindowTextA, OemToCharBuffA, LoadCursorA, UpdateWindow, SendMessageA, GetTopWindow, GetLastActivePopup, EnableWindow, PostMessageA, GetClientRect, ShowWindow, GetDC, SetTimer, GetSysColor, ReleaseDC, SetCursor, KillTimer, PostQuitMessage, DialogBoxIndirectParamA, GetWindowRect, GetSystemMetrics, SetWindowPos, GetDlgItemTextA, EndDialog, PeekMessageA, TranslateMessage, DispatchMessageA, GetParent, SetDlgItemTextA, SendDlgItemMessageA, GetDlgItem, InvalidateRect, wsprintfA, MessageBoxA
> KERNEL32.dll: DosDateTimeToFileTime, GlobalLock, RtlUnwind, _lcreat, GetModuleHandleA, FindNextFileA, GetCommandLineA, SetFileAttributesA, DeleteFileA, RemoveDirectoryA, GetVersion, GetModuleFileNameA, SetErrorMode, GetTempPathA, GetTempFileNameA, CreateProcessA, WaitForSingleObject, GetTickCount, GetWindowsDirectoryA, OpenFile, LocalAlloc, GetCurrentDirectoryA, GlobalUnlock, GlobalHandle, LocalFree, LocalFileTimeToFileTime, GlobalAlloc, FindClose, FindFirstFileA, SetCurrentDirectoryA, lstrlenA, CreateDirectoryA, SetFileTime, _llseek, GlobalFree, lstrcpyA, _lopen, _lwrite, _lread, lstrcatA, _lclose
> GDI32.dll: SetTextColor, GetTextExtentPoint32A, GetBkColor, SetBkColor, ExtTextOutA, GetTextMetricsA, GetTextAlign, DeleteObject, TextOutA, SetTextAlign, SetBkMode, CreateDCA, GetDeviceCaps, CreateFontIndirectA, DeleteDC, SelectObject

( 0 exports )
packers (F-Prot): ZIP
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=125ed4ff91efe14ba37a6f9e65702579
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5360B9D800F8CE96F0A100FB829D8100C0ECDFD8

Was soll ich tun? Habe ich nun einen Virus oder nicht?

Danke
Tina

Alt 29.10.2008, 09:06   #2
Chris4You
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Hi,

ja, nachdem was Du geschrieben hast. Die Babylon Datei löschen, auf keinen Fall ausführen. Papierkorb danach leeren!

Bitte ein HJ-Log gemäß Link in meiner Signatur;
Dann lass auch schon MAM laufen u. Silentrunner:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chirs
__________________

__________________

Alt 29.10.2008, 11:59   #3
tinimini
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



So, das hat einige Zeit gedauert. Hoffe mir ist jetzt keine wichtige Software verloren gegangen:

Hier kommt der 1. Teil


Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1335
Windows 5.1.2600 Service Pack 2

29.10.2008 11:25:15
mbam-log-2008-10-29 (11-25-15).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 175302
Laufzeit: 1 hour(s), 43 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
__________________

Alt 29.10.2008, 12:01   #4
tinimini
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Und nun der 2. Teil

Silentrunners!

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"EPSON Stylus DX8400 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE /FU "C:\WINDOWS\TEMP\E_S38F.tmp" /EF "HKCU"" ["SEIKO EPSON CORPORATION"]
"MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"NAV Agent" = "C:\Programme\Norton Internet Security\Norton AntiVirus\NAVAPW32.exe" [file not found]
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\System32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "EpsonToolBandKicker Class"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B4579AA5-E3A0-49A1-AC0B-5112AFBD215B}" = "iSQL*Plus Servers"
-> {HKLM...CLSID} = "iSqlPlusShellExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\isqlext.dll" ["Oracle Corporation"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{5E44E225-A408-11CF-B581-008029601108}" = "Roxio DragToDisc Shell Extension"
-> {HKLM...CLSID} = "Roxio DragToDisc Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\shellex.dll" ["Roxio"]
"{A44D5ACC-3411-40DE-9AD3-214FFB2ED7AC}" = "My Media"
-> {HKLM...CLSID} = "Eigene Medien"
\InProcServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\MediaSX.dll" ["Roxio, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "My Bluetooth Places"
\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" ["WIDCOMM Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"Dotipico" = "{84C92258-CF2E-4B11-808D-1E417DF59CE6}"
-> {HKLM...CLSID} = "ceretdx"
\InProcServer32\(Default) = "C:\WINDOWS\system32\exesodis.dll" [null data]
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWA RE\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "GinaDLL" = "C:\WINDOWS\System32\awgina.dll" ["Symantec Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
EPPShellEx\(Default) = "{509FE1AF-ADD5-49EC-BC55-7CF81FD16E78}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\EPSON\Creativity Suite\Easy Photo Print\EPPShell.dll" ["SEIKO EPSON CORPORATION"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TzShell\(Default) = "{B38FE8E9-5DFC-4D58-8459-1E3AC5165E34}"
-> {HKLM...CLSID} = "TzShell"
\InProcServer32\(Default) = "C:\Programme\TUGZip\TzShell.dll" [null data]
UltraEdit-32\(Default) = "{b5eedee0-c06e-11cf-8c56-444553540000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\UltraEdit\ue32ctmn.dll" [empty string]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TzShell\(Default) = "{B38FE8E9-5DFC-4D58-8459-1E3AC5165E34}"
-> {HKLM...CLSID} = "TzShell"
\InProcServer32\(Default) = "C:\Programme\TUGZip\TzShell.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

HKLM\SOFTWARE\Classes\.scr\(Default) = "scrfile"
<<!>> HKLM\SOFTWARE\Classes\scrfile\shell\open\command\(Default) = ""%1" /S "%3"" [file not found]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Neu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

AdobePhotoshopElementsShowPicturesOnArrival\
"Provider" = "Adobe Photoshop Elements"
"InvokeProgID" = "PhotoshopElements.Application.2"
"InvokeVerb" = "edit"
HKLM\SOFTWARE\Classes\PhotoshopElements.Application.2\shell\edit\DropTarget\CLSID = "{06BA3416-AB29-4e01-A2F1-5AB6A17BEBBB}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\Adobe\Photoshop Elements 2\PhotoshopElements.exe /Automation" ["Adobe Systems, Incorporated"]

CTPlayAudioOnArrival\
"Provider" = "@C:\Programme\Creative\MediaSource\CTCMS.CRL,-14345"
"InvokeProgID" = "CTAutoPL.AudioCDPlayer.1"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\CTAutoPL.AudioCDPlayer.1\shell\open\command\(Default) = ""C:\Programme\Creative\MediaSource\CTCMS.exe" /T=CLASSKEY_AudioCD IN %L PlayNow" ["Creative Technology Ltd"]

EpsonCreativitySuite\
"Provider" = "FileManager"
"InvokeProgID" = "EpsonCreativitySuite"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\EpsonCreativitySuite\shell\Play\DropTarget\CLSID = "{7720BCC1-4F11-4f17-A80F-0BB69EF9788F}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\EPSON\Creativity Suite\File Manager\eppqcom.exe" [null data]

iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]

iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]

iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]

iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]

MSWMEncVCArrival\
"Provider" = "Windows Media Encoder 9-Reihe"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Windows Media-Komponenten\Encoder\WMEnc.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
-> {HKLM...CLSID} = "ShellExecute HW Event Handler"
\LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

Picasa2ImportPicturesOnArrival\
"Provider" = "Picasa2"
"InvokeProgID" = "picasa2.autoplay"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\picasa2.autoplay\shell\import\command\(Default) = "C:\Programme\Picasa2\Picasa2.exe "%1"" ["Google Inc."]

Alt 29.10.2008, 12:02   #5
tinimini
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Und noch der Rest: Passte nicht alles in eine Auflistung.

RoxioAudioCentralPlayCDAudio\
"Provider" = "Roxio Audio Central"
"InvokeProgID" = "Roxio.RxMon.PlayCDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\Roxio.RxMon.PlayCDAudio\shell\play\Command\(Default) = ""C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" /play:AudioCD "%L"" ["Roxio, Inc."]

RoxioAudioCentralPlayMixedContent\
"Provider" = "Roxio Audio Central"
"InvokeProgID" = "Roxio.RxMon.PlayMixedContent"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\Roxio.RxMon.PlayMixedContent\shell\play\Command\(Default) = ""C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" /play:MixedContent "%L"" ["Roxio, Inc."]

RoxioAudioCentralPlayMusicFiles\
"Provider" = "Roxio Audio Central"
"InvokeProgID" = "Roxio.RxMon.PlayMusicFiles"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\Roxio.RxMon.PlayMusicFiles\shell\play\Command\(Default) = ""C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" /play:MusicFiles "%L"" ["Roxio, Inc."]

RoxioPSGetMixedOnArrival\
"Provider" = "@%PS5ROOT%\RoxioPhotoSuite.exe,-57344"
"InvokeProgID" = "RoxioPhotoSuite"
"InvokeVerb" = "get"
HKLM\SOFTWARE\Classes\RoxioPhotoSuite\shell\get\DropTarget\CLSID = "{8867FF23-3B6C-11D3-A60D-0080C8586779}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\PhotoSuite\RoxioPhotoSuite.exe" ["Roxio Inc."]

RoxioPSGetMusicOnArrival\
"Provider" = "@%PS5ROOT%\RoxioPhotoSuite.exe,-57344"
"InvokeProgID" = "RoxioPhotoSuite"
"InvokeVerb" = "get"
HKLM\SOFTWARE\Classes\RoxioPhotoSuite\shell\get\DropTarget\CLSID = "{8867FF23-3B6C-11D3-A60D-0080C8586779}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\PhotoSuite\RoxioPhotoSuite.exe" ["Roxio Inc."]

RoxioPSGetPicturesOnArrival\
"Provider" = "@%PS5ROOT%\RoxioPhotoSuite.exe,-57344"
"InvokeProgID" = "RoxioPhotoSuite"
"InvokeVerb" = "get"
HKLM\SOFTWARE\Classes\RoxioPhotoSuite\shell\get\DropTarget\CLSID = "{8867FF23-3B6C-11D3-A60D-0080C8586779}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\PhotoSuite\RoxioPhotoSuite.exe" ["Roxio Inc."]

RoxioPSGetVideoOnArrival\
"Provider" = "@%PS5ROOT%\RoxioPhotoSuite.exe,-57344"
"InvokeProgID" = "RoxioPhotoSuite"
"InvokeVerb" = "get"
HKLM\SOFTWARE\Classes\RoxioPhotoSuite\shell\get\DropTarget\CLSID = "{8867FF23-3B6C-11D3-A60D-0080C8586779}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\PhotoSuite\RoxioPhotoSuite.exe" ["Roxio Inc."]

RoxioSelectOnArrival\
"Provider" = "Roxio Easy CD & DVD Creator"
"InvokeProgID" = "Projselector"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Projselector\shell\open\Command\(Default) = ""C:\Programme\Gemeinsame Dateien\Roxio Shared\Project Selector\ProjSelector.exe" -x" ["Roxio"]


Startup items in "Neu" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"WinZip Quick Pick" -> shortcut to: "C:\Programme\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."]
"WISO Urteilsmonitor" -> shortcut to: "C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe" ["R&S EDV-Beratung, Hannover"]


Enabled Scheduled Tasks:
------------------------

"{36873417-4D26-4ED8-B59A-25E651CDC909}_SYNTEG1_Arne" -> launches: "C:\WINDOWS\SYSTEM32\MOBSYNC.EXE /Schedule="{36873417-4D26-4ED8-B59A-25E651CDC909}_SYNTEG1_Arne"" [MS]
"{7B773E25-2995-4CB7-97AE-68150C807995}_SYNTEG1_Arne" -> launches: "C:\WINDOWS\SYSTEM32\MOBSYNC.EXE /Schedule="{7B773E25-2995-4CB7-97AE-68150C807995}_SYNTEG1_Arne"" [MS]
"{BCC567D7-D0F3-4179-8D8A-FB4028FB653D}_SYNTEG1_Arne" -> launches: "C:\WINDOWS\SYSTEM32\MOBSYNC.EXE /Schedule="{BCC567D7-D0F3-4179-8D8A-FB4028FB653D}_SYNTEG1_Arne"" [MS]
"{F897AA24-BDC3-11D1-B85B-00C04FB93981}_SYNTEG1_Arne" -> launches: "C:\WINDOWS\SYSTEM32\MOBSYNC.EXE /Schedule="{F897AA24-BDC3-11D1-B85B-00C04FB93981}_SYNTEG1_Arne"" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 32
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_04"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{1153C29A-2A1C-12E3-A2A3-00D1A2F21300}\
"ButtonText" = "WhoisAssistant"
"MenuText" = "&WhoisAssistant starten"
"Exec" = "C:\Programme\WhoisAssistant\WhoisAssistantDirect.exe" [null data]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 6 domain names to IP addresses,
5 of the IP addresses are *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ActionAgent, ActionAgent, "C:\Programme\Dell\OpenManage\Client\ActionAgent.exe" ["Dell Computer Corporation"]
Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
DellDmi, DellDmi, "C:\DMI\WIN32\bin\DellDmi.exe" ["Dell Computer Corporation"]
DEventAgent, DEventAgent, "C:\Programme\Dell\OpenManage\Client\EventAgt.exe" ["Dell Computer Corporation"]
DLT, DLT, "C:\Programme\Dell\OpenManage\Client\DLT.exe" ["Dell Computer Corporation"]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
Iap, Iap, "C:\Programme\Dell\OpenManage\Client\Iap.exe" ["Dell Computer Corporation"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}
Win32Sl, Win32Sl, "C:\dmi\win32\bin\Win32sl.exe" ["Intel"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}


Keyboard Driver Filters:
------------------------

HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "aw_host" [file not found]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX8400 Series 32MonitorBE\Driver = "E_FLBCEE.DLL" ["SEIKO EPSON CORPORATION"]
HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]
hpzlnt01\Driver = "hpzlnt01.dll" ["Hewlett-Packard Company"]
LPR Port\Driver = "lprmon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [file not found]
pcAnywhere Remote Printing\Driver = "awmon.dll" ["Symantec Corporation"]


---------- (launch time: 2008-10-29 11:54:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 84 seconds, including 6 seconds


Alt 29.10.2008, 12:50   #6
Chris4You
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Hi,

es fehlt noch das HJ-Logfile!

Es wurde eine adwareverseuchte IQ-Toolbar entfernt (also ein klares Jein auf die Frage ob Programme entfernt wurden...).

Java ist total veraltet (1.5 irgendwas)!
Download jre-6u7-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe”


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\exesodis.dll
C:\WINDOWS\System32\awgina.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Ich kann mich des Eindrucks nicht erwehren, dass ich einen geschäftlich genutzten Notebook vor mir habe, ist das so?

chris
__________________
--> Virus in Babylon31.exe ???

Alt 29.10.2008, 15:20   #7
tinimini
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Hallo Chris,

das Laptop wurde mal vor 3 oder 4 Jahren vom Vorbesitzer für Oracle Entwicklungen genutzt. Aber seither nicht mehr.

So bei der Datei exesodis.dll (Grösse 1.048 kb, was ist HASH?) passiert nix, da kommt nur die Mitteilung:

0 bytes size received / Se ha recibido un archivo vacio


und bei awgina.dll (Grösse 33 kb) folgendes:

Datei awgina.dll empfangen 2008.10.29 15:12:41 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.28.3 2008.10.29 -
AntiVir 7.9.0.10 2008.10.29 -
Authentium 5.1.0.4 2008.10.28 -
Avast 4.8.1248.0 2008.10.28 -
AVG 8.0.0.161 2008.10.29 -
BitDefender 7.2 2008.10.29 -
CAT-QuickHeal 9.50 2008.10.29 -
ClamAV 0.93.1 2008.10.29 -
DrWeb 4.44.0.09170 2008.10.29 -
eSafe 7.0.17.0 2008.10.28 -
eTrust-Vet 31.6.6179 2008.10.29 -
Ewido 4.0 2008.10.29 -
F-Prot 4.4.4.56 2008.10.29 -
F-Secure 8.0.14332.0 2008.10.29 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.29 -
Ikarus T3.1.1.44.0 2008.10.29 -
K7AntiVirus 7.10.511 2008.10.29 -
Kaspersky 7.0.0.125 2008.10.29 -
McAfee 5417 2008.10.28 -
Microsoft 1.4005 2008.10.29 -
NOD32 3566 2008.10.29 -
Norman 5.80.02 2008.10.28 -
Panda 9.0.0.4 2008.10.29 -
PCTools 4.4.2.0 2008.10.29 -
Prevx1 V2 2008.10.29 -
Rising 21.01.22.00 2008.10.29 -
SecureWeb-Gateway 6.7.6 2008.10.29 -
Sophos 4.35.0 2008.10.29 -
Sunbelt 3.1.1762.1 2008.10.28 -
Symantec 10 2008.10.29 -
TheHacker 6.3.1.1.133 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.29 -
VBA32 3.12.8.8 2008.10.28 -
ViRobot 2008.10.29.1443 2008.10.29 -
VirusBuster 4.5.11.0 2008.10.28 -
weitere Informationen
File size: 32822 bytes
MD5...: 45759950ad97df3d078e606dc861f455
SHA1..: a9df3a1e535b2810cd63c6692f2b6e442c0406da
SHA256: d95b1748ebce3c6be1b53c8ebca400d683680ee085d7232b181e9e75e957ceb3
SHA512: db9e761b4455cdf355701a9c584887ef4bfcc727046698abdd1d811a84cbdff7
5e99e4f33c6ccbe980b3300852ad355d5238da7892c04f77b14212f7d7e89044
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10002fa1
timedatestamp.....: 0x3ad4bbfe (Wed Apr 11 20:18:06 2001)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2044 0x3000 4.64 8546ef2c7597ab52d3ded78853c41a34
.rdata 0x4000 0x8e6 0x1000 3.27 787d142c91a6a9a3c38fb537a678210d
.data 0x5000 0xe68 0x1000 1.63 777c2b092acbd7644e973d474dfbd4c7
.rsrc 0x6000 0x380 0x1000 0.93 f5aae5726906dbee236db09c298951a7
.reloc 0x7000 0x4fe 0x1000 2.51 287d48fbd127436c3f81dcca196b50da

( 4 imports )
> KERNEL32.dll: WaitForMultipleObjects, FreeLibrary, Sleep, DeviceIoControl, ResetEvent, WaitForSingleObject, CloseHandle, SetEvent, CreateFileW, lstrcmpiW, LoadLibraryW, DisableThreadLibraryCalls, OpenEventW, TerminateThread, GetVersionExW, CreateEventW, GetLastError, GetProcAddress, GetCurrentProcessId, lstrcpyW, CreateThread
> USER32.dll: MessageBeep, CloseDesktop, GetUserObjectInformationW, OpenInputDesktop, MessageBoxW, LoadStringW
> ADVAPI32.dll: SetSecurityDescriptorDacl, InitializeSecurityDescriptor, QueryServiceConfigW, CloseServiceHandle, OpenServiceW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, CreateProcessAsUserW, DeregisterEventSource, OpenSCManagerW, RegisterEventSourceW, RegDeleteValueW, ReportEventW, RegQueryValueExW, RegCloseKey
> MSVCRT.dll: wcsstr, wcscpy, _adjust_fdiv, free, malloc, _wcslwr, _initterm, _except_handler3, wcscat, wcslen

( 18 exports )
WlxActivateUserShell, WlxDisplayLockedNotice, WlxDisplaySASNotice, WlxDisplayStatusMessage, WlxGetStatusMessage, WlxInitialize, WlxIsLockOk, WlxIsLogoffOk, WlxLoggedOnSAS, WlxLoggedOutSAS, WlxLogoff, WlxNegotiate, WlxNetworkProviderLoad, WlxRemoveStatusMessage, WlxScreenSaverNotify, WlxShutdown, WlxStartApplication, WlxWkstaLockedSAS


Hoffe das ist Ergebnis ist gut!"?

Danke
Tina

Alt 29.10.2008, 15:26   #8
Chris4You
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Hi,

es gibt keine Informationen über diese Datei, und das ist immer verdächtig!

Wir killen die Datei (sicher ist sicher, Killbox melden einen Fehler wenn sie tatsächlich nicht da sein sollte):
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\system32\exesodis.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"

PC neustarten

So, jetzt noch etwas aufräumen:
Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

Hast Du schon Java auf den neusten Stand gebracht?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 29.10.2008, 16:30   #9
tinimini
 
Virus in Babylon31.exe  ??? - Standard

Virus in Babylon31.exe ???



Hallo Chris,

habe jetzt alles nach Anleitung abgearbeitet, bereinigt bis keine Fehler-Meldungen mehr kamen.

Java Update ist auch fertig.

Kann ich jetzt wieder beruhigt arbeiten?

Das war übrigens eine mega tolle Anleitung von Dir!!! Tausend Dank dafür. Das hätte ich alleine NIEMALS hinbekommen.!!

LG
Tina

Antwort

Themen zu Virus in Babylon31.exe ???
.dll, 1.exe, 32-bit, avira, babylon, datei, defender, einfach, empfangen, ergebnisse, explorer, folge, gen 2, hallo zusammen, ide, information, link, löschen, meldungen, ratlos, saver, scan, scanner, screen, system, variant, virenscanner, virus, virustotal, _restore





Zum Thema Virus in Babylon31.exe ??? - Hallo Zusammen, ich kenne mich mit Computer-Viren überhaupt nicht aus und hatte bisher auch glücklicherweise noch keine. Doch jetzt habe ich beim Virenscan mit Avira folgende Virenmeldungen bekommen und bin - Virus in Babylon31.exe ???...
Archiv
Du betrachtest: Virus in Babylon31.exe ??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.