Hallo,

Seit vorgestern meldet Avast bei mir regelmäßig Schädlingsbefall. Ich kann leider nicht mehr alle Fehlermeldungen wiedergeben, da ich anfangs dachte ich bekomme es schon in den Griff wenn ich tu was Avast mir vorschlägt.
Als Betriebssystem nutze ich Windows XP.

Ich denke das Hauptproblem ist
C:\DOKUME~1\***\LOKALE~1\Temp\__14.tmp
Win32:Rootkit-gen
Rootkit
081108-0, 08.11.2008

Außerdem bekam ich heute noch Meldungen über
C:\DOKUME~1\***\LOKALE~1\Temp\__1C.tmp
Win32:Trojan-gen {Other}
Virus/Wurm
081108-0, 08.11.2008

und einen Win32:Lighty-D über den im Internet bisher erstaunlich wenig zu lesen ist.

Momentan läuft bei mir der Windows OneCare safety scanner durch und hat auch schon 10 Sicherheitsrisiken gefunden.

Zulest kann ich noch sagen, dass mein IE seit heute regelmäßig öffnet und immer wieder die selben Seiten läd. Der IE ist bei mir eigentlich nicht in Benutzung.

Hier mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:10, on 09.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\gadcom\gadcom.exe
C:\Programme\Trillian\trillian.exe
D:\TV\TVUPlayer\TVUPlayer.exe
C:\Programme\GetPack\GetPack24.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis2\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Programme\Mjcore\Mjcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prun.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\***\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: c00AB1BA - C:\WINDOWS\SYSTEM32\c00AB1BA.mat
O20 - Winlogon Notify: sys32 - sys32.dll (file missing)
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe

--
End of file - 7011 bytes


Ich habe auch schon versucht 2 Dateien zu unersuchen:

Datei lsass.exe empfangen 2008.11.09 18:34:52 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.09 -
AntiVir 7.9.0.26 2008.11.07 -
Authentium 5.1.0.4 2008.11.09 -
Avast 4.8.1248.0 2008.11.08 -
AVG 8.0.0.161 2008.11.09 -
BitDefender 7.2 2008.11.09 -
CAT-QuickHeal 9.50 2008.11.08 -
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 -
eSafe 7.0.17.0 2008.11.09 -
eTrust-Vet 31.6.6199 2008.11.08 -
Ewido 4.0 2008.11.09 -
F-Prot 4.4.4.56 2008.11.08 -
F-Secure 8.0.14332.0 2008.11.09 -
Fortinet 3.117.0.0 2008.11.09 -
GData 19 2008.11.09 -
Ikarus T3.1.1.45.0 2008.11.09 -
K7AntiVirus 7.10.520 2008.11.08 -
Kaspersky 7.0.0.125 2008.11.09 -
McAfee 5428 2008.11.08 -
Microsoft 1.4104 2008.11.09 -
NOD32 3597 2008.11.08 -
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.09 -
PCTools 4.4.2.0 2008.11.09 -
Prevx1 V2 2008.11.09 -
Rising 21.02.62.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 -
Sophos 4.35.0 2008.11.09 -
Sunbelt 3.1.1785.2 2008.11.08 Trojan-PSW.Win32.OnLineGames.X (vf)
Symantec 10 2008.11.09 -
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.09 -
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.09 -
weitere Informationen
File size: 13312 bytes
MD5...: afb8261b56cba0d86aeb6df682af9785
SHA1..: 60202d18865a2b6caeec51ce54d5392e43fdeb54
SHA256: 104d96f1f19dd4ce492064acc9634406a019eae20b42d03198e400e661897127
SHA512: 7e47e4cbd7ad660124bd5150fe44923b622acaa24f2f5eed28306c9f94c3a236
d4d54ac26ca1b174956d15541405ec09cab454a7c990d2577c3f5e3ecf8306f8
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10014bd
timedatestamp.....: 0x48025186 (Sun Apr 13 18:31:34 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10d0 0x1200 6.01 171278a39939ba5a70f6d3246a60ead0
.data 0x3000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x4000 0x1b30 0x1c00 7.15 54488850c25258396b2c9492c36b0bd5

( 5 imports )
> ADVAPI32.dll: FreeSid, CheckTokenMembership, AllocateAndInitializeSid, OpenThreadToken, ImpersonateSelf, RevertToSelf
> KERNEL32.dll: CloseHandle, GetCurrentThread, ExitThread, SetUnhandledExceptionFilter, SetErrorMode, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, RtlUnwind, InterlockedExchange, VirtualQuery
> ntdll.dll: NtSetInformationProcess, RtlInitUnicodeString, NtCreateEvent, NtOpenEvent, NtSetEvent, NtClose, NtRaiseHardError, RtlAdjustPrivilege, NtShutdownSystem, RtlUnhandledExceptionFilter
> LSASRV.dll: LsaISetupWasRun, LsapDsDebugInitialize, LsapAuOpenSam, LsapCheckBootMode, ServiceInit, LsapInitLsa, LsapDsInitializePromoteInterface, LsapDsInitializeDsStateInfo
> SAMSRV.dll: SamIInitialize, SampUsingDsData

( 0 exports )


und die gadcom.exe jkann ich unter dem angegebenen Pfad nicht finden.


Ich hoffe ihr könnt mir weiterhelfen, ich weiß nämlich nicht mehr was das richtige ist.

Hallo

Bitte führe keine voreiligen Löschungsaktionen durch und bewahre bis zur Lösung des Problems einen kühlen Kopf.
Analysiere bitte auch noch folgende Datei:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\prun.exe
C:\WINDOWS\SYSTEM32\c00AB1BA.mat
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Führe zu Analysen/Bereinigunszwecken auch noch diese Tools aus:

1.)
LADS für Alternate Data Streams:

• Lade Dir lads.zip von hier.
• Entpacke das Archiv nach C:\. Dort befinden sich jetzt lads.exe und Lads_ReadMe.txt.

Klicke nun auf Start => Ausführen => cmd eingeben und Enter drücken.
Es öffnet sich nun die Eingabeaufforderung. Dort tippst du die folgenden Befehle der Reihe nach ein:

1. cd c:\
2. lads /s >lads.txt

Sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst Enter.
Öffne nun die C:\lads.txt mit dem Editor und kopiere dessen Inhalt in Deine nächste Antwort.

Anmerkung:

• Falls beim Ausführen von LADS die Nachricht "Der Befehl lads ist entweder falsch geschrieben oder konnte nicht gefunden werden" kommt, liegt die Datei nicht unter C:\. Kopiere sie in dem Fall dorthin.
• Falls die Datei zu groß ist um sie im Forum zu posten, nutze einen Upload-Dienst, wie file-upload.net und poste den Downloadlink.

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

3.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

mfg

Also dann hier erstmal die Auswertungen der VirusTotal analysen:

Datei prun.exe empfangen 2008.11.09 21:31:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 13/36 (36.12%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.09 -
AntiVir 7.9.0.26 2008.11.07 -
Authentium 5.1.0.4 2008.11.09 -
Avast 4.8.1248.0 2008.11.08 -
AVG 8.0.0.161 2008.11.09 Generic12.ILR
BitDefender 7.2 2008.11.09 Trojan.Clicker.VB.UV
CAT-QuickHeal 9.50 2008.11.08 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 -
eSafe 7.0.17.0 2008.11.09 Suspicious File
eTrust-Vet 31.6.6200 2008.11.09 -
Ewido 4.0 2008.11.09 -
F-Prot 4.4.4.56 2008.11.09 -
F-Secure 8.0.14332.0 2008.11.09 Trojan.Win32.VB.gop
Fortinet 3.117.0.0 2008.11.09 -
GData 19 2008.11.09 Trojan.Clicker.VB.UV
Ikarus T3.1.1.45.0 2008.11.09 Trojan.Win32.VB
K7AntiVirus 7.10.520 2008.11.08 -
Kaspersky 7.0.0.125 2008.11.09 Trojan.Win32.VB.gop
McAfee 5428 2008.11.08 -
Microsoft 1.4104 2008.11.09 -
NOD32 3597 2008.11.08 probably unknown NewHeur_PE
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.09 Suspicious file
PCTools 4.4.2.0 2008.11.09 -
Prevx1 V2 2008.11.09 Worm
Rising 21.02.62.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 -
Sophos 4.35.0 2008.11.09 Troj/VB-EBN
Sunbelt 3.1.1785.2 2008.11.08 -
Symantec 10 2008.11.09 Trojan.Adclicker
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.09 -
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.09 -
weitere Informationen
File size: 34816 bytes
MD5...: d7512e025c439d8454a742992229770c
SHA1..: 287f2c2c7ad44faf6e70567c8ff367df9bfebae4
SHA256: 86e2112f631c1093e532600be69638e0669d5f1d987c48169515fcf1a9dff7dc
SHA512: db67432cce5cda3a26bba07bf076a3c92938d62aae64d62c589edd564ac96e0a
c5dc46539178ab7fdaa1fd1f88221e824d76048276ca04328a0dc90364b06554
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification
Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401114
timedatestamp.....: 0x49141927 (Fri Nov 07 10:32:07 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11000 0x3800 7.99 de4212e17bca0c05af0faf88ae593bfd
.rsrc 0x12000 0x5000 0x4e00 4.82 64fdcc7a78d8aa4d457639acaff6c89a

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4280AD59006059D988D600BF893D0A0039A8C0BC
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=d7512e025c439d8454a742992229770c
packers (F-Prot): PecBundle, PECompact
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact


Datei c00AB1BA.mat empfangen 2008.11.09 21:42:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/33 (33.34%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 61 und 87 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.09 Win-Trojan/Bhosearcher.20992
AntiVir 7.9.0.26 2008.11.07 -
Authentium 5.1.0.4 2008.11.09 -
Avast 4.8.1248.0 2008.11.08 -
AVG 8.0.0.161 2008.11.09 Downloader.Generic8.BWS
BitDefender 7.2 2008.11.09 Trojan.BhoSearcher.A
CAT-QuickHeal 9.50 2008.11.08 -
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 Trojan.BhoSearcher.10
eSafe 7.0.17.0 2008.11.09 -
eTrust-Vet 31.6.6200 2008.11.09 -
Ewido 4.0 2008.11.09 -
F-Prot 4.4.4.56 2008.11.09 -
F-Secure 8.0.14332.0 2008.11.09 Trojan-GameThief.Win32.Magania.ajto
Fortinet 3.117.0.0 2008.11.09 W32/Vundo.IX!tr
GData 19 2008.11.09 Trojan.BhoSearcher.A
Ikarus T3.1.1.45.0 2008.11.09 -
K7AntiVirus 7.10.520 2008.11.08 -
Kaspersky 7.0.0.125 2008.11.09 Trojan-GameThief.Win32.Magania.ajto
McAfee 5428 2008.11.08 -
Microsoft 1.4104 2008.11.09 -
NOD32 3597 2008.11.08 Win32/TrojanDownloader.Agent.OLR
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.09 -
Rising 21.02.62.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 -
Sophos 4.35.0 2008.11.09 Troj/Agent-IEM
Sunbelt 3.1.1785.2 2008.11.08 Trojan.Qipsearch
Symantec 10 2008.11.09 -
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.09 -
weitere Informationen
File size: 20992 bytes
MD5...: d7d3cc6d0efff7c5060299a4addad4da
SHA1..: 1c6851e5b0ad746210404a7559fd79ac9ca569da
SHA256: 062be4fcc9478686468a6cd6c443a0318b3dd8d048c3eecda83002a74d022a8d
SHA512: b8df3f7942e08f896e8f6ed9084639306dde17f43285b526bec59572ef8ce572
fb7657de1ad7a7b9f58d34f57604ee69ac16b4d0f1e509a5b48f9734dce7b237
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100019a0
timedatestamp.....: 0x498d044c (Sat Feb 07 03:47:24 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9d5 0xa00 6.25 e35b8ac5cf698e7c37b53dd7dbb0c4f2
.rdata 0x2000 0x1ce 0x200 3.88 150e1acfbb2b0d161b2fe1ea13d459dc
.data 0x3000 0x3250 0x3400 7.75 803d44e146ecfda2f7fb165f11c75cc0
.reloc 0x7000 0x2000 0x200 2.29 991ef19e9f09adea9cbd4797e1172192

( 4 imports )
> KERNEL32.dll: LoadLibraryA, GetProcAddress, CloseHandle, VirtualFree, CreateFileA, VirtualProtect, VirtualAlloc, ExitProcess
> USER32.dll: DialogBoxParamA, LoadIconA
> GDI32.dll: AbortDoc
> ADVAPI32.dll: RegQueryValueA

( 0 exports )


Der gadcom Ordner ist immernoch leer, auch wenn ich versteckte Dateien anzeigen lassen.



So, jetzt noch das Ergebnis des 1. Scanns:
Schutz:
9 Schwer Sicherheitsrisiken gefunden
3 Hoch Sicherheitsrisiken gefunden
1 Mittel Sicherheitsrisiko gefunden

Leistung:
406 Registrierungs-Elemente gefunden
159,4MB an temporären Dateien gefunden
Dazu wird mir etwas von einer Defragmentierung empfohlen. Auf Laufwerk C 23%
Wüsste jetzt nicht, wozu ich das jetzt machen muss.

Bitte dazu gleich antworten, ich will sonst beim Virenscann nicht weitermachen Defragmentieren ja oder nein? Darf ich im Anschluss an diesen Scann auch löschen oder soll ich vorerst nur Berichte hier posten?

Vielen Dank schonmal für die ersten Tipps

Lösche bitte vorerst nichts und folge der Anleitung weiter.

ok und ich defragmentiere nichts? hab ja seit 4 Stunden OneCae laufen lassen, das werd ich jetzt nur sehr ungern abbrechen

/edit: hat sich erledigt *g*

Weitere Berichte folgen

Lads Protokoll:


LADS - Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\ with subdirectories

size ADS in file
---------- ---------------------------------
0 C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1267nmet.default\parent.lock
Error 32 opening C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1267nmet.default\places.sqlite-journal
0 C:\Dokumente und Einstellungen\xxx\Desktop\Thumbs.db:encryptable
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1960YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1966YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1982YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1990YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1994YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1996YearbookPhoto.jpg:Zone.Identifier
24 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads\all-in-one_sidebar-0.7.6-fx.xpi:Zone.Identifier
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Adobe\Fotos von Digitalkamera\2007-07-10-1944-37\Thumbs.db:encryptable
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Thumbs.db:encryptable
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Kalender-Excel\Thumbs.db:encryptable
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Thumbs.db:encryptable
Error 32 opening C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\etilqs_7l7EHEZctmFkRUfthakp
Error 32 opening C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\xxx\NTUSER.DAT.LOG
Error 32 opening C:\hiberfil.sys
Error 32 opening C:\pagefile.sys
0 C:\Programme\RSM08\LauncherData\Thumbs.db:encryptable
0 C:\Programme\RSM08\Specific\all\Autorun\Data\Thumbs.db:encryptable
0 C:\Programme\Sony\ISPselector\Thumbs.db:encryptable
0 C:\Programme\Sony\OnlineRegistration\Thumbs.db:encryptable
0 C:\Programme\UltraStar\Zusatzlieder\kA\(Ultrastar) Singstar for Pc + Songs,Videos CD Nr. 2 by (cRs) karaoke Live Vol 2-2006\Thumbs.db:encryptable
0 C:\Thumbs.db:encryptable
Error 32 opening C:\WINDOWS\system32\CatRoot2\edb.log
Error 32 opening C:\WINDOWS\system32\CatRoot2\tmp.edb
Error 32 opening C:\WINDOWS\system32\config\default
Error 32 opening C:\WINDOWS\system32\config\DEFAULT.LOG
Error 32 opening C:\WINDOWS\system32\config\SAM
Error 32 opening C:\WINDOWS\system32\config\SAM.LOG
Error 32 opening C:\WINDOWS\system32\config\SECURITY
Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG
Error 32 opening C:\WINDOWS\system32\config\software
Error 32 opening C:\WINDOWS\system32\config\SOFTWARE.LOG
Error 32 opening C:\WINDOWS\system32\config\system
Error 32 opening C:\WINDOWS\system32\config\SYSTEM.LOG
Error 32 opening C:\WINDOWS\system32\drivers\sptd.sys
Error 32 opening C:\WINDOWS\TEMP\Perflib_Perfdata_5d0.dat
Error 32 opening C:\WINDOWS\TEMP\_avast4_\Webshlock.txt
0 C:\WINDOWS\Thumbs.db:encryptable

The following summary might be incorrect because there was at least one error!

180 bytes in 20 ADS listed