Sofort wenn man den Internet Explorer öffnet kommt die Anzeige:

Internet Explorer Warning - visiting this website may harm your computer!

nen Stück tiefer dann:

Activate Antivirus 2009 for secure Internet surfing (Recommended) usw.

Spybot startet garnicht erst und AntiVir hat folgende Einträge bei einem Scan:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ute\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9JCKOAWS\38[1].exe
[0] Archivtyp: NSIS
--> [PluginsDir]/f1
[1] Archivtyp: NSIS
--> ProgramFilesDir/[SystemDir]/[UnknownDir].dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\explorer32.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49908af8.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b592d59.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\ieupdates.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49958aea.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b5c2d4b.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <Volume D>

Logfile of HijackThis v1.99.1
Scan saved at 04:28:21, on 20.06.2004
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\WINDOWS\vVX6000.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: &Research - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\WINDOWS\system32\winsrc.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX6000] C:\WINDOWS\vVX6000.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1225733445
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207846345022
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

Vielen Dank für die Hilfe!

Hallo,

lass mal bitte die Dateien analysieren:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\explorer32.exe
C:\WINDOWS\system32\ieupdates.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Würde ich ja gern ... das Prob ist, dass der Rechner mich nicht auf die Seite lässt ... werde umgeleitet auf ebay und andere Seiten ... auch im abgesicherten Modus ... :/

Hast du einen Zweitrechner zur Verfügung?

Naja meinen ... der mit dem Problem ist nicht meiner ;D

Na dann kopiere die Dateien auf "deinen" Rechner (nicht anklicken!) und lade sie da hoch.

Datei ieupdates.exe empfangen 2008.11.21 14:19:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 27/37 (72.98%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.21.0 2008.11.21 -
AntiVir 7.9.0.35 2008.11.21 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.11.20 -
Avast 4.8.1281.0 2008.11.20 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.11.20 Agent.ALXE
BitDefender 7.2 2008.11.21 Trojan.Generic.1133713
CAT-QuickHeal 10.00 2008.11.21 -
ClamAV 0.94.1 2008.11.21 -
DrWeb 4.44.0.09170 2008.11.21 Trojan.DownLoad.4232
eSafe 7.0.17.0 2008.11.19 Win32.Agent.ancl
eTrust-Vet 31.6.6221 2008.11.21 Win32/FakeAlert.ON
Ewido 4.0 2008.11.21 -
F-Prot 4.4.4.56 2008.11.21 -
F-Secure 8.0.14332.0 2008.11.21 Trojan.Win32.Agent.ancl
Fortinet 3.117.0.0 2008.11.21 W32/Agent.ANCL!tr
GData 19 2008.11.21 Trojan.Generic.1133713
Ikarus T3.1.1.45.0 2008.11.21 Trojan-Downloader.Win32.Yektel
K7AntiVirus 7.10.529 2008.11.20 Trojan.Win32.Agent.ancl
Kaspersky 7.0.0.125 2008.11.21 Trojan.Win32.Agent.ancl
McAfee 5440 2008.11.20 Generic Dropper.p
McAfee+Artemis 5440 2008.11.20 Generic Dropper.p
Microsoft 1.4104 2008.11.21 TrojanDownloader:Win32/Yektel.A
NOD32 3630 2008.11.21 Win32/TrojanDownloader.Delf.OJL
Norman 5.80.02 2008.11.20 W32/Agent.JHGP
Panda 9.0.0.4 2008.11.20 Adware/MalwareAlarm
PCTools 4.4.2.0 2008.11.21 Trojan.Agent!sd6
Prevx1 V2 2008.11.21 Malicious Software
Rising 21.04.42.00 2008.11.21 -
SecureWeb-Gateway 6.7.6 2008.11.21 Trojan.Crypt.XPACK.Gen
Sophos 4.35.0 2008.11.21 Mal/Generic-A
Sunbelt 3.1.1823.2 2008.11.21 -
Symantec 10 2008.11.21 Trojan.Fakeavalert
TheHacker 6.3.1.1.159 2008.11.19 Trojan/Agent.ancl
TrendMicro 8.700.0.1004 2008.11.21 TROJ_RENOS.ALT
VBA32 3.12.8.9 2008.11.20 Trojan.Win32.Agent.ancl
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.20 -
weitere Informationen
File size: 119296 bytes
MD5...: ee43fe593873bc318fbe7d5f564fe7c3
SHA1..: 3b34efa4fb5f04bed6456794400a69f09290b00f
SHA256: 8fea6b1e2fa647fde908996e486cc162c5ab1f5b617be24ebd5c6fe9f2c31289
SHA512: 959b0b7b66005e89c0544ae5b0b19d6ccda9134a3ab6007344e5d84aab335487
48165decfbd9c98439de49044ca50838ad3e6710f47b99dfd25e0033919506a4
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4012c8
timedatestamp.....: 0x459ed8eb (Fri Jan 05 23:02:03 2007)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6a7a 0x6c00 0.66 27a6912300d7e018ad158e8104eeca82
.data 0x8000 0x14231 0x14400 6.40 4fbb833c1564123e3c66dbebc6d5ceb6
.bbs 0x1d000 0x14b59 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x32000 0x147d 0x1600 4.26 495600731fa56e279e4592e3afc5ea80
.tls 0x34000 0xd1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x35000 0x154 0x200 0.21 9e7190a54473d5dc1fd1c58d71b163e2
.rsrc 0x36000 0x204 0x400 3.22 214fa4042a73b973a43e53267377fc49

( 10 imports )
> ADVAPI32.DLL: RegDeleteValueW, RegQueryValueExW, RegDeleteKeyW, RegEnumValueW, RegLoadKeyA, RegQueryValueExA, RegCreateKeyExW, RegOpenKeyA, RegEnumKeyExW, RegReplaceKeyA, RegDeleteKeyA, RegQueryInfoKeyA, RegQueryValueW, RegLoadKeyW, RegReplaceKeyW
> KERNEL32.DLL: GetComputerNameA, OpenFile, WriteFile, GetConsoleMode, FindAtomA, GetStdHandle, OpenFileMappingA, ReadFile, GetCommandLineA, SetLastError, ReadConsoleA, CopyFileExA
> ADVAPI32.DLL: RegCreateKeyExA, RegEnumValueW, RegDeleteKeyW, RegOpenKeyW, RegOpenKeyExA, RegLoadKeyW, RegDeleteKeyA, RegDeleteValueW, RegFlushKey, RegCreateKeyExW, RegDeleteValueA, RegQueryValueExA, RegOpenKeyA, RegEnumKeyExA, RegQueryValueW, RegEnumKeyExW, RegQueryValueExW, RegQueryValueA
> COMCTL32.DLL: ImageList_Remove, ImageList_Copy, ImageList_LoadImage, ImageList_GetImageCount, ImageList_Create, ImageList_GetIconSize, ImageList_GetImageInfo, ImageList_GetIcon, ImageList_DrawEx, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Read, ImageList_GetImageRect, ImageList_Merge
> ADVAPI32.DLL: RegReplaceKeyA, RegCreateKeyExA, RegCreateKeyW, RegDeleteValueA, RegDeleteKeyA, RegDeleteKeyW, RegOpenKeyExA, RegQueryInfoKeyW, RegEnumKeyA, RegOpenKeyW, RegQueryValueExA, RegEnumKeyW, RegCreateKeyExW, RegQueryValueW, RegEnumKeyExA
> COMCTL32.DLL: ImageList_BeginDrag, ImageList_AddIcon, ImageList_Destroy, ImageList_GetImageCount, ImageList_GetImageRect, ImageList_EndDrag, ImageList_DragMove, ImageList_DragShowNolock, ImageList_Create, ImageList_DragEnter, ImageList_LoadImageA, ImageList_Replace, ImageList_Draw, ImageList_Merge, ImageList_GetImageInfo, ImageList_DrawIndirect, ImageList_GetDragImage
> COMCTL32.DLL: ImageList_AddIcon, ImageList_DragLeave, ImageList_EndDrag, ImageList_DragShowNolock, ImageList_BeginDrag, ImageList_LoadImage, ImageList_Read, ImageList_GetImageRect, ImageList_DrawIndirect, ImageList_DragEnter, ImageList_DragMove, ImageList_LoadImageW, ImageList_Copy, ImageList_GetImageCount, ImageList_GetIconSize, ImageList_LoadImageA, ImageList_GetIcon, ImageList_Create, ImageList_Merge
> USER32.DLL: AppendMenuW, GetCursor, IsMenu, BlockInput, DialogBoxParamW, GetDlgItem, CopyRect, CopyIcon, GetFocus, LoadMenuA, AlignRects
> COMCTL32.DLL: ImageList_Read, ImageList_GetImageRect, ImageList_DrawEx, ImageList_LoadImageW, ImageList_AddIcon, ImageList_GetIcon, ImageList_DragLeave, ImageList_BeginDrag, ImageList_DrawIndirect, InitCommonControls, ImageList_LoadImageA, ImageList_GetImageInfo
> KERNEL32.DLL: ExitThread, Sleep, ReadFile, FindAtomA, GetConsoleMode, DeleteAtom, GetFileTime, GetComputerNameA, CopyFileA, CreateDirectoryA, CopyFileExW, GetCommandLineA

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AFBFF1DE000E6444D2C10167AB8FC500E31BBE6A
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=ee43fe593873bc318fbe7d5f564fe7c3
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ee43fe593873bc318fbe7d5f564fe7c3



Datei explorer32.exe empfangen 2008.11.21 14:21:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 26/37 (70.28%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.21.0 2008.11.21 -
AntiVir 7.9.0.35 2008.11.21 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.11.20 -
Avast 4.8.1281.0 2008.11.20 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.11.20 Agent.ALXE
BitDefender 7.2 2008.11.21 Trojan.Generic.1133713
CAT-QuickHeal 10.00 2008.11.21 -
ClamAV 0.94.1 2008.11.21 -
DrWeb 4.44.0.09170 2008.11.21 Trojan.DownLoad.4232
eSafe 7.0.17.0 2008.11.19 Win32.Agent.ancl
eTrust-Vet 31.6.6221 2008.11.21 Win32/FakeAlert.ON
Ewido 4.0 2008.11.21 -
F-Prot 4.4.4.56 2008.11.21 -
F-Secure 8.0.14332.0 2008.11.21 Trojan.Win32.Agent.ancl
Fortinet 3.117.0.0 2008.11.21 W32/Agent.ANCL!tr
GData 19 2008.11.21 Trojan.Generic.1133713
Ikarus T3.1.1.45.0 2008.11.21 Trojan-Downloader.Win32.Yektel
K7AntiVirus 7.10.529 2008.11.20 Trojan.Win32.Agent.ancl
Kaspersky 7.0.0.125 2008.11.21 Trojan.Win32.Agent.ancl
McAfee 5440 2008.11.20 Generic Dropper.p
McAfee+Artemis 5440 2008.11.20 Generic Dropper.p
Microsoft 1.4104 2008.11.21 TrojanDownloader:Win32/Yektel.A
NOD32 3630 2008.11.21 Win32/TrojanDownloader.Delf.OJL
Norman 5.80.02 2008.11.20 W32/Agent.JHGP
Panda 9.0.0.4 2008.11.20 Adware/MalwareAlarm
PCTools 4.4.2.0 2008.11.21 Trojan.Agent!sd6
Prevx1 V2 2008.11.21 -
Rising 21.04.42.00 2008.11.21 -
SecureWeb-Gateway 6.7.6 2008.11.21 Trojan.Crypt.XPACK.Gen
Sophos 4.35.0 2008.11.21 Mal/Generic-A
Sunbelt 3.1.1823.2 2008.11.21 -
Symantec 10 2008.11.21 Trojan.Fakeavalert
TheHacker 6.3.1.1.159 2008.11.19 Trojan/Agent.ancl
TrendMicro 8.700.0.1004 2008.11.21 TROJ_RENOS.ALT
VBA32 3.12.8.9 2008.11.20 Trojan.Win32.Agent.ancl
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.20 -
weitere Informationen
File size: 119296 bytes
MD5...: ee43fe593873bc318fbe7d5f564fe7c3
SHA1..: 3b34efa4fb5f04bed6456794400a69f09290b00f
SHA256: 8fea6b1e2fa647fde908996e486cc162c5ab1f5b617be24ebd5c6fe9f2c31289
SHA512: 959b0b7b66005e89c0544ae5b0b19d6ccda9134a3ab6007344e5d84aab335487
48165decfbd9c98439de49044ca50838ad3e6710f47b99dfd25e0033919506a4
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4012c8
timedatestamp.....: 0x459ed8eb (Fri Jan 05 23:02:03 2007)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6a7a 0x6c00 0.66 27a6912300d7e018ad158e8104eeca82
.data 0x8000 0x14231 0x14400 6.40 4fbb833c1564123e3c66dbebc6d5ceb6
.bbs 0x1d000 0x14b59 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x32000 0x147d 0x1600 4.26 495600731fa56e279e4592e3afc5ea80
.tls 0x34000 0xd1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x35000 0x154 0x200 0.21 9e7190a54473d5dc1fd1c58d71b163e2
.rsrc 0x36000 0x204 0x400 3.22 214fa4042a73b973a43e53267377fc49

( 10 imports )
> ADVAPI32.DLL: RegDeleteValueW, RegQueryValueExW, RegDeleteKeyW, RegEnumValueW, RegLoadKeyA, RegQueryValueExA, RegCreateKeyExW, RegOpenKeyA, RegEnumKeyExW, RegReplaceKeyA, RegDeleteKeyA, RegQueryInfoKeyA, RegQueryValueW, RegLoadKeyW, RegReplaceKeyW
> KERNEL32.DLL: GetComputerNameA, OpenFile, WriteFile, GetConsoleMode, FindAtomA, GetStdHandle, OpenFileMappingA, ReadFile, GetCommandLineA, SetLastError, ReadConsoleA, CopyFileExA
> ADVAPI32.DLL: RegCreateKeyExA, RegEnumValueW, RegDeleteKeyW, RegOpenKeyW, RegOpenKeyExA, RegLoadKeyW, RegDeleteKeyA, RegDeleteValueW, RegFlushKey, RegCreateKeyExW, RegDeleteValueA, RegQueryValueExA, RegOpenKeyA, RegEnumKeyExA, RegQueryValueW, RegEnumKeyExW, RegQueryValueExW, RegQueryValueA
> COMCTL32.DLL: ImageList_Remove, ImageList_Copy, ImageList_LoadImage, ImageList_GetImageCount, ImageList_Create, ImageList_GetIconSize, ImageList_GetImageInfo, ImageList_GetIcon, ImageList_DrawEx, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Read, ImageList_GetImageRect, ImageList_Merge
> ADVAPI32.DLL: RegReplaceKeyA, RegCreateKeyExA, RegCreateKeyW, RegDeleteValueA, RegDeleteKeyA, RegDeleteKeyW, RegOpenKeyExA, RegQueryInfoKeyW, RegEnumKeyA, RegOpenKeyW, RegQueryValueExA, RegEnumKeyW, RegCreateKeyExW, RegQueryValueW, RegEnumKeyExA
> COMCTL32.DLL: ImageList_BeginDrag, ImageList_AddIcon, ImageList_Destroy, ImageList_GetImageCount, ImageList_GetImageRect, ImageList_EndDrag, ImageList_DragMove, ImageList_DragShowNolock, ImageList_Create, ImageList_DragEnter, ImageList_LoadImageA, ImageList_Replace, ImageList_Draw, ImageList_Merge, ImageList_GetImageInfo, ImageList_DrawIndirect, ImageList_GetDragImage
> COMCTL32.DLL: ImageList_AddIcon, ImageList_DragLeave, ImageList_EndDrag, ImageList_DragShowNolock, ImageList_BeginDrag, ImageList_LoadImage, ImageList_Read, ImageList_GetImageRect, ImageList_DrawIndirect, ImageList_DragEnter, ImageList_DragMove, ImageList_LoadImageW, ImageList_Copy, ImageList_GetImageCount, ImageList_GetIconSize, ImageList_LoadImageA, ImageList_GetIcon, ImageList_Create, ImageList_Merge
> USER32.DLL: AppendMenuW, GetCursor, IsMenu, BlockInput, DialogBoxParamW, GetDlgItem, CopyRect, CopyIcon, GetFocus, LoadMenuA, AlignRects
> COMCTL32.DLL: ImageList_Read, ImageList_GetImageRect, ImageList_DrawEx, ImageList_LoadImageW, ImageList_AddIcon, ImageList_GetIcon, ImageList_DragLeave, ImageList_BeginDrag, ImageList_DrawIndirect, InitCommonControls, ImageList_LoadImageA, ImageList_GetImageInfo
> KERNEL32.DLL: ExitThread, Sleep, ReadFile, FindAtomA, GetConsoleMode, DeleteAtom, GetFileTime, GetComputerNameA, CopyFileA, CreateDirectoryA, CopyFileExW, GetCommandLineA

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=ee43fe593873bc318fbe7d5f564fe7c3
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ee43fe593873bc318fbe7d5f564fe7c3

So,
dann mache einen Durchgang mit diesen Programmen:

1.)
Anleitung SmitfraudFix (by S!Ri)

Klick auf das Symbol und lies die Anleitung ->
und lass das System durchsuchen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

3.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

das erste Tool will nicht laufen ...

SmitfraudFix.exe hat ein problem festgestellt und muss beendet werden ... blabla

was nun? gleich mit dem zweiten weiter machen?

Ja, überspring dann SMF.

das zweite geht auch net .... er startet die installationsroutine schon garnet ... (ist bei spybot genauso)
du kannst es anklicken und es erscheint im taskmanager, aber passieren tut nix

*hmpf*

Naja, Spybot ist sowieso ein Fall für die Mülltonne, also ist es um das Programm nicht weiter schlimm.
Lass MBAM vorerst auch weg und mach mit ComboFix weiter, nimm aber statt dem normalen Downloadspiegel dieses ComboFix. Die Anleitung dafür bleibt gleich.

ich glaub das hat sich dann erledigt ...

mit dem CCleaner war alles bestens ... aber der auch combofix startet danach nur im taskmanager ...

Also wenn garnichts geht, dann würde ich eine Neuinstallation des Systems in Betracht ziehen...

Solche Symptome deuten auf üble Infektionen hin.

Ja denke ich auch ....

trotzdem vielen Dank für die Geduld und die Hilfe!!!