Hallo alle zusammen
Werde wie zur Zeit wohl ziemlich viele von einem Trojaner geplagt... der Trojaner nennt sich laut Antivir tr/vundo.gen.4.5 manchmal auch 4.3 (können Mehrere sein!?). Hab ihn sehr wahrscheinlich über MSN bekommen -.-
laut antivir befindet er sich in
c:\windows\system32\ojxrxerk.dll
und
c:\windows\system32\ark2.tmp

Wenn mein pc hochfährt ist das i-net wirklich lahm und naja Antimalware hab ich mal durchlaufen lassen ebenso wie Antivir... die haben zwar viel beseitigta ber der Trojaner scheint noch da zu sein. Andauernd öffnen sich irgendwelche Progs laute inem Fenster wie Nokia PC Suite oder sowas. Das starten von ICQ und MSN ist ebenfalls sehr lahm, öftersmal hängt auch Firefox. Sehr nervig.
Hoffe jemand kann da Hilfe leisten
Schon mal jetzt danke ^^

Hijack Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:13:52, on 02.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218667552437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218716752140
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: jrdstp.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Unknown owner - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe (file missing)
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

--
End of file - 8178 bytes

Hi,

Bitte editiere Deine Links, wie es dir u.a. hier angezeigt wird:
Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958), sonst darf nicht geholfen werden!

chris

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\jrdstp.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Files to delete:
C:\Programme\AskBarDis\bar\bin\askBar.dll
C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\jrdstp.dll

Folders to delete:
C:\Programme\AskBarDis
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
         

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Chris

Hi danke für die schnelle Antwort(en)
Sorry nochmal das ich den Log nicht genau überflogen habe... kann die Daten aber scheinbar nicht mehr editieren. Hoffe kommt nicht nochmal vor.

Ok zum Virustool erstmal... die Datei waulct.dll konnte ich in System32 nicht finden!? Die andere schon

Analyse von jrdstp.dll:
(Hmm ich weiß gerade nicht was HASH bedeutet aber ich poste hier einfach mal alles dazu)

MD5: f2057ce02973cc9c28009b1e96491cc3
First received: 2008.12.01 09:36:24 (CET)
Datum 2008.12.02 02:04:42 (CET) [<1D]
Ergebnisse 12/37
Permalink: analisis/528cb8a3541854ddf0ff888d0e8560da

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.2.0 2008.12.01 -
AntiVir 7.9.0.36 2008.12.01 -
Authentium 5.1.0.4 2008.12.02 -
Avast 4.8.1281.0 2008.12.01 -
AVG 8.0.0.199 2008.12.02 Vundo.BI
BitDefender 7.2 2008.12.02 Trojan.Vundo.Gen.4
CAT-QuickHeal 10.00 2008.12.01 -
ClamAV 0.94.1 2008.12.02 -
DrWeb 4.44.0.09170 2008.12.02 Trojan.Juan.60
eSafe 7.0.17.0 2008.11.30 Suspicious File
eTrust-Vet 31.6.6236 2008.12.01 -
Ewido 4.0 2008.12.01 -
F-Prot 4.4.4.56 2008.12.01 -
F-Secure 8.0.14332.0 2008.12.02 Trojan.Win32.Monderd.gen
Fortinet 3.117.0.0 2008.12.01 -
GData 19 2008.12.02 Trojan.Vundo.Gen.4
Ikarus T3.1.1.45.0 2008.12.01 -
K7AntiVirus 7.10.539 2008.12.01 -
Kaspersky 7.0.0.125 2008.12.02 Trojan.Win32.Monderd.gen
McAfee 5451 2008.12.01 -
McAfee+Artemis 5451 2008.12.01 -
Microsoft 1.4104 2008.12.02 Trojan:Win32/Vundo.gen!AA
NOD32 3655 2008.12.01 a variant of Win32/Adware.Virtumonde.NDK
Norman 5.80.02 2008.12.01 -
Panda 9.0.0.4 2008.12.02 -
PCTools 4.4.2.0 2008.12.01 -
Prevx1 V2 2008.12.02 Fraudulent Security Program
Rising 21.06.02.00 2008.12.01 -
SecureWeb-Gateway 6.7.6 2008.12.01 -
Sophos 4.36.0 2008.12.02 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.02 Packed.Generic.202
TheHacker 6.3.1.2.171 2008.12.02 -
TrendMicro 8.700.0.1004 2008.12.01 PAK_Generic.001
VBA32 3.12.8.9 2008.12.01 -
ViRobot 2008.12.1.1494 2008.12.01 -
VirusBuster 4.5.11.0 2008.12.01 -
weitere Informationen
File size: 106496 bytes
MD5...: f2057ce02973cc9c28009b1e96491cc3
SHA1..: 929936c57f7828cf403cd5ebbbe07e4766eb6e4c
SHA256: 58937edcac79643fc035251b7c361f6f9e8452c5ad1607dc5ab2c96660cd43f1
SHA512: c76b6b9b5d06da8e0411066afc667d6ea4170462e3be35400bb08881cee21a58
aa23252112dfada8c6c5fc4476a6f01a1dd340972be69954bcfc09e29ace2f66
ssdeep: 1536:ZW6My4BaXOgIMG49Aru6SSuNbBhxtmbwNzEO7kSH9oOoi8vzBEzj+foNz1r
/wFQB:ZWPZaHmbz+9gi+zy5NBr/RpqJLwyHIu
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001551
timedatestamp.....: 0x1294fcd1 (Sun Nov 18 06:18:57 1979)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa000 0x9400 7.96 721545129f9ba7c745da711a394704f4
.data 0xb000 0x1000 0x200 3.40 53798c3f16a69ff431546e7531d1b474
.rdata 0xc000 0x38000 0x10400 7.99 72c3f29cad4001a171f8b6ba6fb3c443
.rsrc 0x44000 0x1000 0x200 1.66 6c1a6d650543eaf4b18d527f058a1b88

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA




Werde nun den Schritt mit dem Avenger tun

So Avenger spuckt das aus:


Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Programme\AskBarDis\bar\bin\askBar.dll" deleted successfully.
File "C:\WINDOWS\system32\wauclt.exe" deleted successfully.
File "C:\WINDOWS\system32\jrdstp.dll" deleted successfully.
Folder "C:\Programme\AskBarDis" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Hi,

bitte noch den Rest abarbeiten...
(MAM/Combofix).
Meistens zieht vundo noch einen ganzen Stall von Viechern hinter sich her...

chris

Ja mach ich noch aber leider hat das mit Malware schon über 2h gedauert deshalb erst jetzt wieder meine Meldung... und für Combofix hab ich leider erst morgen Abend Zeit deshalb sry für die langsame Antworten.

Also das kam bei Malware raus (log)

Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\geBsqPGa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\wvUllLCu.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{126b04a8-5966-44ec-9a20-2998ae785f04} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{126b04a8-5966-44ec-9a20-2998ae785f04} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvulllcu (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d3cf2824-15b6-4337-8944-53451c680dcf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d3cf2824-15b6-4337-8944-53451c680dcf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebsqpga -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebsqpga -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\jrdstp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUllLCu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\geBsqPGa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\aGPqsBeg.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aGPqsBeg.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\paxxrrdx.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xdrrxxap.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p***** a*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDG3Y5M5\kb600179[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{206176F4-29BD-41D6-BDB5-06615E74A01E}\RP113\A0033919.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{206176F4-29BD-41D6-BDB5-06615E74A01E}\RP113\A0033920.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{206176F4-29BD-41D6-BDB5-06615E74A01E}\RP113\A0033921.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

Hi,

auch die Systemwiederherstellung ist verseucht, die bereinigen wir zum Schluß...

chris

Ok Danke für die Hilfe ^^
Aber bin gerade erst nach Hause gekommen und zum Umfallen kaputt, werde erst morgen Abend den letzten Scan machen.
Aber hätte da eine Frage wie ansteckend der Trojaner ist, kenne mich da aboslut nicht aus: Wird er z.B. auf eine Externe Festplatte übertragen wenn ich eine anschließe?

Hi,

der eigentlich nicht...
Was treibt combofix bzw. dessen Log bitte posten...

chris

Wenn ich das gewusst hätte... hab oben gelesen das CF einige Zeit braucht aber bei mir gings es ruckzuck in Minuten? Hätte das dann auch schon früher machen können ^^
Hier ist der Log

ComboFix 08-12-03.04 - p**** a****** 2008-12-04 19:59:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.651 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\p**** a******\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\9.tmp
c:\windows\system32\krexrxjo.ini
c:\windows\system32\qmwpktxg.ini
c:\windows\system32\tjhajfyt.ini
c:\windows\Tasks\fftevers.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-04 bis 2008-12-04 ))))))))))))))))))))))))))))))
.

2008-12-02 17:33 . 2008-12-02 17:33 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-02 17:33 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-02 17:33 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-01 21:44 . 2008-12-01 21:44 106,496 --a------ c:\windows\system32\lihmcqxo.dll
2008-12-01 17:17 . 2008-12-02 12:09 <DIR> d-------- c:\programme\Spyware Doctor
2008-12-01 17:17 . 2008-12-01 17:17 <DIR> d-------- c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\PC Tools
2008-12-01 17:17 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2008-12-01 17:17 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2008-12-01 17:17 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2008-12-01 17:17 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2008-12-01 17:13 . 2008-12-01 20:31 <DIR> d-------- c:\programme\a-squared Anti-Malware
2008-11-13 19:38 . 2008-11-13 19:38 <DIR> d-------- c:\dokumente und einstellungen\p**** a******\.jmf
2008-11-12 14:02 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 14:02 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-05 18:33 . 2008-11-05 18:34 <DIR> d-------- c:\programme\StuffPlug3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-03 19:31 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\OpenOffice.org2
2008-12-03 19:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-02 16:26 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-28 14:00 --------- d-----w c:\programme\Norton Security Scan
2008-11-23 16:10 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\Xfire
2008-11-21 14:52 138,408 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-21 14:03 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-11 10:57 --------- d-----w c:\programme\MessengerDiscovery
2008-11-03 17:42 --------- d-----w c:\programme\Intelore
2008-11-01 16:00 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\Yahoo!
2008-11-01 16:00 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-18 16:37 --------- d-----w c:\programme\Yahoo!
2008-10-18 16:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-10-18 14:36 --------- d-----w c:\programme\Miranda IM(2)
2008-10-18 14:36 --------- d-----w c:\programme\Messenger Plus! Live(2)
2008-10-18 14:36 --------- d-----w c:\programme\Messenger Plus! Live
2008-10-18 14:36 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\Miranda
2008-10-18 14:36 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-10-18 13:24 --------- dc----w c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-10-18 13:24 --------- d-----w c:\programme\Windows Live
2008-10-18 13:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-05 16:13 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\GlarySoft
2008-10-05 16:10 --------- d-----w c:\programme\Glary Utilities
2008-10-05 16:09 --------- d-----w c:\programme\xp-AntiSpy
2008-10-05 16:02 96,384 ----a-w c:\windows\system32\drivers\sptd6141.sys
2008-10-05 08:57 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-04 14:30 --------- d-----w c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-10-04 09:54 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-04 09:33 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\gtk-2.0
2008-10-04 09:26 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\Nokia Multimedia Player
2008-10-04 09:26 --------- d-----w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\Nokia
2008-09-20 13:42 22,328 ----a-w c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\PnkBstrK.sys
2008-09-15 16:15 73,216 ----a-w c:\windows\cadkasdeinst01.exe
2007-05-21 12:59 1 ----a-w c:\dokumente und einstellungen\p**** a******\SI.bin
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"PCSuiteTrayApplication"="d:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2007-04-19 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2007-04-19 86016]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"a-squared"="c:\programme\A-SQUARED ANTI-MALWARE\a2guard.exe" [2008-11-20 2780816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
--a------ 2006-01-17 12:26 53248 c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
--a------ 2006-01-17 12:26 135168 c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-06-16 00:15 366400 c:\programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-04-19 12:26 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SkyTel"=SkyTel.EXE
"Gainward"=c:\windows\TBPanel.exe /A
"DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033 -noicon
"RTHDCPL"=RTHDCPL.EXE
"Alcmtr"=ALCMTR.EXE
"TrueImageMonitor.exe"=c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
"AcronisTimounterMonitor"=c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"WinampAgent"=d:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\MessengerDiscovery\\MessengerDiscovery Live.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\DRIVERS\avgntmgr.sys [2007-05-25 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2007-05-25 45376]
R1 SSHDRV85;SSHDRV85;\??\c:\windows\System32\drivers\SSHDRV85.sys [2007-09-03 78848]
R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\DRIVERS\avmunet.sys [2006-08-11 15104]
S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe []
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [2008-12-01 356920]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1d5d9aa5-92c1-11dd-af72-00150c4ecb3d}]
\Shell\AutoRun\command - G:\starter.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-04 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2008-09-17 15:35]

2008-11-28 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-01-18 17:24]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
HKCU-Run-CTFMON.EXE - c:\windows\system32\ctfmon.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre1.6.0_07\bin\jusched.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.c*m/
uInternet Settings,ProxyOverride = fritz.box
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\p**** a******\Anwendungsdaten\Mozilla\Firefox\Profiles\538s167h.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://w**.t-online.de
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-04 20:01:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(964)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\a-squared Anti-Malware\a2service.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\windows\system32\PnkBstrB.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\system32\msiexec.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-04 20:03:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-04 19:03:53

Vor Suchlauf: 5.568.892.928 Bytes frei
Nach Suchlauf: 5,617,717,248 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

203 --- E O F --- 2008-11-12 13:22:06

Hi,

online prüfen lassen:
c:\windows\system32\lihmcqxo.dll
Falls erkannt sofort löschen, wenn die aktiv sein sollte...

chris

Ok mit dem Virustool online als trojanisches Pferd erkannt und mit Antivir gelöscht.
Gibt es noch was?

Hi,

zur Sicherheit noch Prevx drüber lassen:
http://www.prevx.com/freescan.asp

chris

Hi
Also der Scan finet nach einem Drittel etwa, diesen Störenfried:
Status: ROOTKIT - c:Programme/SmartPropertyGrid.dll - Threat Identified:Caution.HiddenFile
Von dem hör ich nach all dem Scannen zum ersten mal?!
Blöd sind allerdings zwei Dinge:
Zum einen kann ich den nicht löschen weil ich dazu die Vollversion des Programmes brauche, zum anderen beendet er den Scan nachdem er diesen gefunden hat (zumindest gehts mit einem Schlag auf 100%)!?

Hi,

Lade die Datei bitte hoch und lasse sie prüfen...
Das Verzeichnis ist zumindest ungewöhnlich...

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:Programme/SmartPropertyGrid.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris