Zitat:

Also, das AVP-Tool hat nichts gefunden (aber 5h gesucht, ist das normal?).

ist es denn durchgelaufen? Also stand dort: Scan beendet oder so?

Ja, Scan erfolgreich beendet oder sowas. Und ein komplett leeres Reportfeld.

Die logs sind sauber. Wie geht's dem Rechner?

Danke fürs Log-Checken!

Nach dem Hochfahren hält er sich immer noch gut ne Minute damit auf bei ausgelastetem CPU offenbar mit avgrsx.exe zu kämpfen (hat auch später noch 27.000 k Speicherauslastung), danach ist er aber wieder flott.
Heute stürzte der Windows-Explorer 4-5mal ab, als ich im Bilderordner war, mit der Behauptung "dtw32.exe hat ein Problem festgestellt und muss beendet werden." - Dateiname aus dem Kopf zitiert, der Fehler ließ sich grade nicht provozieren. - Früher hatte ich das einmal im Monat, meist auch im Bilderordner...

Und die "bösen" Dateien im Mailordner hab ich ja auch nicht gelöscht - muss ich die noch irgendwie rauswerfen?

Die Meldung und die Abstürze gefallen mir nicht...

Wen er das nächste mal eine Fehlermeldung bringt dann schreibe diese unbedingt mit und poste sie hier!!!


Systembereinigung

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
  
• Unter File -> Database Update ->Start drücken.
  
• Unter AVZPM -> Install extended monitoring driver drücken.
  
• Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
  
  
• Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  
• Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  
• Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  
• Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!

• Nun starte den Scan bitte durch Drücken des Start Buttons.
  
  
• Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
  Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

• Die beiden logs hänge bitte an deinen nächsten Post an.
  
  
• Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Wichtig! Wann soll ich meine Systemwiederherstellung wieder einschalten? Nach dem nächsten Hochfahren?

Die beiden Logs von AVZ:

Code: Alles auswählenAufklappen

ATTFilter

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 18.12.2008 21:53:19
Database loaded: signatures - 201253, NN profile(s) - 2, microprograms of healing - 56, signature database released 18.12.2008 21:40
Heuristic microprograms loaded: 372
SPV microprograms loaded: 9
Digital signatures of system files loaded: 74370
Heuristic analyzer mode: Maximum heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
 Searching for masking processes and drivers - complete
 Driver loaded successfully
1.5 Checking of IRP handlers
\driver\tcpip[IRP_MJ_CLOSE] = F048C5A8 -> C:\WINDOWS\System32\Drivers\avgtdix.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F048D43E -> C:\WINDOWS\System32\Drivers\avgtdix.sys
 Checking - complete
2. Scanning memory
 Number of processes found: 28
Analyzer: process under analysis is 616 C:\WINDOWS\StartupMonitor.exe
[ES]:Application has no visible windows
[ES]:Located in system folder
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 640 C:\Programme\Acer\Launch Manager\PowerKey.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1076 C:\Programme\Acer\Launch Manager\LaunchAp.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1084 C:\Programme\Acer\Launch Manager\KeyHook.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1380 C:\Programme\Acer\Launch Manager\HotkeyApp.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1520 C:\Programme\Acer\Launch Manager\CtrlVol.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1312 C:\Programme\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
 Number of modules loaded: 274
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\tine\Cookies\index.dat
C:\Dokumente und Einstellungen\tine\Desktop\Virus Removal Tool\is-BEFQC\is-BEFQC.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
File quarantined succesfully (C:\Dokumente und Einstellungen\tine\Desktop\Virus Removal Tool\is-BEFQC\is-BEFQC.com)
Direct reading C:\Dokumente und Einstellungen\tine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\tine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\tine\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\tine\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008121820081219\index.dat
Direct reading C:\Dokumente und Einstellungen\tine\NTUSER.DAT
C:\Programme\OpenOffice.org 2.2\program\crashrep.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
File quarantined succesfully (C:\Programme\OpenOffice.org 2.2\program\crashrep.com)
C:\Programme\OpenOffice.org 2.2\program\invocation.uno.dll >>> suspicion for Backdoor.Win32.UltimateDefender.grg ( 09E25293 05903389 00213166 002769BD 44544)
File quarantined succesfully (C:\Programme\OpenOffice.org 2.2\program\invocation.uno.dll)
C:\Programme\OpenOffice.org 2.2\program\unopkg.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
File quarantined succesfully (C:\Programme\OpenOffice.org 2.2\program\unopkg.com)
C:\Programme\Trillian\yahoo.bak - PE file with non-standard extension(dangerousness level is 5%)
File quarantined succesfully (C:\Programme\Trillian\yahoo.bak)
C:\WINDOWS\$NtServicePackUninstall$\format.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
File quarantined succesfully (C:\WINDOWS\$NtServicePackUninstall$\format.com)
C:\WINDOWS\$NtServicePackUninstall$\more.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
File quarantined succesfully (C:\WINDOWS\$NtServicePackUninstall$\more.com)
C:\WINDOWS\$NtServicePackUninstall$\tree.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
File quarantined succesfully (C:\WINDOWS\$NtServicePackUninstall$\tree.com)
Direct reading C:\WINDOWS\SchedLgU.Txt
Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading C:\WINDOWS\system32\config\DEFAULT
Direct reading C:\WINDOWS\system32\config\SAM
Direct reading C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading C:\WINDOWS\system32\config\SECURITY
Direct reading C:\WINDOWS\system32\config\SOFTWARE
Direct reading C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading C:\WINDOWS\system32\config\SYSTEM
Direct reading C:\WINDOWS\system32\drivers\fidbox.idx
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Direct reading C:\WINDOWS\WindowsUpdate.log
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\avgrsstx.dll --> Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\avgrsstx.dll>>> Behavioural analysis 
 Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\WINDOWS\system32\avgrsstx.dll)
C:\Programme\Acer\Launch Manager\powerkey.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Acer\Launch Manager\powerkey.dll>>> Behavioural analysis 
  1. Reacts to events: keyboard
C:\Programme\Acer\Launch Manager\powerkey.dll>>> Neural net: file with probability 70.60% like a typical keyboard/mouse events interceptor
File quarantined succesfully (C:\Programme\Acer\Launch Manager\powerkey.dll)
C:\Programme\Acer\Launch Manager\hookdll.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Acer\Launch Manager\hookdll.dll>>> Behavioural analysis 
  1. Reacts to events: keyboard
C:\Programme\Acer\Launch Manager\hookdll.dll>>> Neural net: file with probability 99.92% like a typical keyboard/mouse events interceptor
File quarantined succesfully (C:\Programme\Acer\Launch Manager\hookdll.dll)
Note: Do NOT delete suspicious files, send them for analysis  (see FAQ for more details),  because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
 Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "avgrsstx.dll"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  HDD autorun are allowed
 >>  Autorun from network drives are allowed
 >>  Removable media autorun are allowed
Checking - complete
Files scanned: 179863, extracted from archives: 130388, malicious software found 0, suspicions - 1
Scanning finished at 18.12.2008 22:37:11
Time of scanning: 00:43:56
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address h**t://virusinfo.info conference
         

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\Drivers\avgtdix.sys;4;Kernel-mode hook
C:\Dokumente und Einstellungen\tine\Desktop\Virus Removal Tool\is-BEFQC\is-BEFQC.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\OpenOffice.org 2.2\program\crashrep.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\OpenOffice.org 2.2\program\invocation.uno.dll;2;Suspicion for Backdoor.Win32.UltimateDefender.grg ( 09E25293 05903389 00213166 002769BD 44544)
C:\Programme\OpenOffice.org 2.2\program\unopkg.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\Trillian\yahoo.bak;3;PE file with non-standard extension(dangerousness level is 5%)
C:\WINDOWS\$NtServicePackUninstall$\format.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\$NtServicePackUninstall$\more.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\$NtServicePackUninstall$\tree.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\avgrsstx.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Programme\Acer\Launch Manager\powerkey.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Programme\Acer\Launch Manager\hookdll.dll;5;Suspicion for Keylogger or Trojan DLL
         

Der Rapidsharelink der Systemanalyse (entstellt falls die Forenregeln das wollen):

h**p://rapidshare.com/files/174678691/avz_sysinfo.zip.html

Zitat:

Wichtig! Wann soll ich meine Systemwiederherstellung wieder einschalten? Nach dem nächsten Hochfahren?

?
Hab' ich doch geschrieben...
Wenn wir hier fertig sind kannst du sie wieder aktivieren.


Wechsel bitte in die AVZ Quarantäne und stelle folgende Dateien wieder her:

Zitat:

C:\WINDOWS\System32\Drivers\avgtdix.sys;4;Kernel-mode hook
C:\Programme\OpenOffice.org 2.2\program\crashrep.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\OpenOffice.org 2.2\program\invocation.uno.dll;2;Suspicion for Backdoor.Win32.UltimateDefender.grg ( 09E25293 05903389 00213166 002769BD 44544)
C:\Programme\OpenOffice.org 2.2\program\unopkg.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\$NtServicePackUninstall$\format.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\$NtServicePackUninstall$\more.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\$NtServicePackUninstall$\tree.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\avgrsstx.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Programme\Acer\Launch Manager\powerkey.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Programme\Acer\Launch Manager\hookdll.dll;5;Suspicion for Keylogger or Trojan DLL

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\windows\startupmonitor.exe
C:\WINDOWS\system32\DRIVERS\16177588.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



Führe danach folgendes Skript mit AVZ aus (File -> Custom Skript):

Zitat:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Dokumente und Einstellungen\tine\Desktop\Virus Removal Tool\is-BEFQC\is-BEFQC.com','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java');
StopService('dmiproxy');
StopService('pavboot');
StopService('is-BEFQCdrv');
QuarantineFile('C:\WINDOWS\system32\drivers\pavboot.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NbmKmd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\16177588.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pavboot.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\NbmKmd.SYS','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Der Rechner startet dabei neu!

Danke! Noch eine Rückfrage. Ich war nach dem Posten gestern nicht sicher, ob ich nach dem ersten Schritt "Systembereinigung" nochmal hätte CCleaner laufen lassen sollen, bevor ich das gezippte log speichere. Ich habe es so verstanden, dass das zwei "Standardbausteine" waren, die du mir gepostet hast, die beide voraussetzen, dass Systemherstellung deaktiviert ist und CCleaner gelaufen ist.

Wenn es aber so ist, dass nach dem Scan nochmal CCleaner hätte laufen müssen, dann hab ich es falsch gemacht. Ist das so und ändert das was an den heutigen Hausaufgaben?

Vielen, vielen Dank für die Hilfe, ich komm mir allmählich ganz schlecht vor, deine Zeit so in Anspruch zu nehmen ohne Gegenleistung...

edit: C:\WINDOWS\System32\Drivers\avgtdix.sys;4;Kernel-mode hook - kann ich im Quarantäneordner nicht finden. - Habe ansonsten alle Schritte ausgeführt bis auf das AVZ-Script - dafür hätte ich gern noch ein ok, das zu machen, obwohl ich diese Datei nicht wiederherstellen konnte, da sie nicht im Quarantäneordner war.

Hast alles richtig interpretiert und richtig ausgeführt!

Zitat:

Vielen, vielen Dank für die Hilfe, ich komm mir allmählich ganz schlecht vor, deine Zeit so in Anspruch zu nehmen ohne Gegenleistung...

Immer gerne. Wenn du mir eine Gegenleistung bringen möchtest dann halte deinen Rechner in Zukunft sauber! Damit ist allen Usern des WorldWideWeb geholfen und wir sind glücklich.. ^^


AVZ-Skript laufen lassen: Ja!


PS: Was ist das eigentlich für ein Ordner?

Zitat:

C:\Dokumente und Einstellungen\tine\Desktop\Virus Removal Tool

Virustotalscan von c:\windows\startupmonitor.exe:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus	Version	Last Update	Result
AhnLab-V3	2008.12.19.3	2008.12.19	-
AntiVir	7.9.0.45	2008.12.19	-
Authentium	5.1.0.4	2008.12.18	-
Avast	4.8.1281.0	2008.12.18	-
AVG	8.0.0.199	2008.12.18	-
BitDefender	7.2	2008.12.19	-
CAT-QuickHeal	10.00	2008.12.19	-
ClamAV	0.94.1	2008.12.19	-
Comodo	781	2008.12.19	-
DrWeb	4.44.0.09170	2008.12.19	-
eSafe	7.0.17.0	2008.12.18	-
eTrust-Vet	31.6.6268	2008.12.18	-
Ewido	4.0	2008.12.19	-
F-Prot	4.4.4.56	2008.12.18	-
F-Secure	8.0.14332.0	2008.12.19	-
Fortinet	3.117.0.0	2008.12.19	-
GData	19	2008.12.19	-
Ikarus	T3.1.1.45.0	2008.12.19	-
K7AntiVirus	7.10.557	2008.12.18	-
Kaspersky	7.0.0.125	2008.12.19	-
McAfee	5468	2008.12.18	-
McAfee+Artemis	5468	2008.12.18	-
Microsoft	1.4205	2008.12.19	-
NOD32	3705	2008.12.19	-
Norman	5.80.02	2008.12.18	-
Panda	9.0.0.4	2008.12.19	-
PCTools	4.4.2.0	2008.12.19	-
Prevx1	V2	2008.12.19	-
Rising	21.08.42.00	2008.12.19	-
SecureWeb-Gateway	6.7.6	2008.12.19	-
Sophos	4.37.0	2008.12.19	-
Sunbelt	3.2.1801.2	2008.12.11	-
Symantec	10	2008.12.19	-
TheHacker	6.3.1.4.191	2008.12.17	-
TrendMicro	8.700.0.1004	2008.12.19	-
VBA32	3.12.8.10	2008.12.18	-
ViRobot	2008.12.19.1527	2008.12.19	-
VirusBuster	4.5.11.0	2008.12.18	-
Additional information
File size: 86016 bytes
MD5...: 064805a7893898cbf058086832217771
SHA1..: 93f83dd87532c4389d6278cead5603687a57d676
SHA256: 5a2cdbb1270446e35c6073922d5f06cd6cdfc152358aef5732ae07b630b8527e
SHA512: ce6c3f888dcf8911f518da00e56c27dd584c0b6341c78c6a5a103c360df2b630
efe38be025ea29e206a194b923f0c8d0f30d6d739a85de30dbb6b8fe278ba14b
ssdeep: 1536:+OPaHH+KGP0cbh3I8hooDj3uxP8VK4aKW:+Oy+H0cbRI8h/zKPn4aKW
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40943a
timedatestamp.....: 0x3926ca23 (Sat May 20 17:23:47 2000)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xdde9 0xe000 6.58 4445b41ce11015aff77cae6554fe7742
.rdata 0xf000 0x24a0 0x3000 3.73 f51a4de45c91ab00278e2bf3f8d428bd
.data 0x12000 0x2a08 0x2000 2.32 01cb39823cb10f826fac809f81ad85b6
.rsrc 0x15000 0x508 0x1000 1.27 2e067ae1c4d76c4cf479302b5e0fb8ae

( 5 imports ) 
> KERNEL32.dll: GetCurrentProcess, FindCloseChangeNotification, FindNextChangeNotification, lstrcmpA, GetVersionExA, lstrlenA, lstrcpyA, OpenEventA, Sleep, WaitForSingleObject, SetEvent, SetProcessWorkingSetSize, FindFirstFileA, FindNextFileA, SetStdHandle, ReadFile, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, IsBadCodePtr, IsBadReadPtr, FlushFileBuffers, SetFilePointer, GetLastError, FindFirstChangeNotificationA, DeleteFileA, GetProcAddress, FindClose, CreateEventA, MultiByteToWideChar, ResetEvent, LoadLibraryA, VirtualFree, HeapAlloc, HeapReAlloc, CloseHandle, HeapSize, SetUnhandledExceptionFilter, IsBadWritePtr, VirtualAlloc, WriteFile, RtlUnwind, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapFree, RaiseException, TerminateProcess, FreeEnvironmentStringsW, FreeEnvironmentStringsA, HeapCreate, GetCPInfo, GetACP, GetOEMCP, UnhandledExceptionFilter, GetModuleFileNameA, HeapDestroy, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType
> USER32.dll: DispatchMessageA, TranslateMessage, GetWindowLongA, CreateWindowExA, MsgWaitForMultipleObjects, PeekMessageA, DefWindowProcA, RegisterClassExA, MessageBoxA, PostQuitMessage, SetWindowLongA
> ADVAPI32.dll: RegSetValueExA, RegNotifyChangeKeyValue, RegCreateKeyExA, RegDeleteValueA, RegOpenKeyExA, RegQueryInfoKeyA, RegDeleteKeyA, RegEnumValueA, RegCloseKey
> SHELL32.dll: SHGetPathFromIDListA, SHGetMalloc, SHGetSpecialFolderLocation
> ole32.dll: CoCreateInstance, OleUninitialize, OleInitialize

( 0 exports )
         

...und für C:\WINDOWS\system32\DRIVERS\16177588.sys

Code: Alles auswählenAufklappen

ATTFilter

Antivirus	Version	Last Update	Result
AhnLab-V3	2008.12.19.3	2008.12.19	-
AntiVir	7.9.0.45	2008.12.19	-
Authentium	5.1.0.4	2008.12.18	-
Avast	4.8.1281.0	2008.12.18	-
AVG	8.0.0.199	2008.12.19	-
BitDefender	7.2	2008.12.19	-
CAT-QuickHeal	10.00	2008.12.19	-
ClamAV	0.94.1	2008.12.19	-
Comodo	781	2008.12.19	-
DrWeb	4.44.0.09170	2008.12.19	-
eSafe	7.0.17.0	2008.12.18	-
eTrust-Vet	31.6.6268	2008.12.18	-
Ewido	4.0	2008.12.19	-
F-Prot	4.4.4.56	2008.12.18	-
F-Secure	8.0.14332.0	2008.12.19	-
Fortinet	3.117.0.0	2008.12.19	-
GData	19	2008.12.19	-
Ikarus	T3.1.1.45.0	2008.12.19	-
K7AntiVirus	7.10.557	2008.12.18	-
Kaspersky	7.0.0.125	2008.12.19	-
McAfee	5468	2008.12.18	-
McAfee+Artemis	5468	2008.12.18	-
Microsoft	1.4205	2008.12.19	-
NOD32	3705	2008.12.19	-
Norman	5.80.02	2008.12.18	-
Panda	9.0.0.4	2008.12.19	-
PCTools	4.4.2.0	2008.12.19	-
Prevx1	V2	2008.12.19	-
Rising	21.08.42.00	2008.12.19	-
SecureWeb-Gateway	6.7.6	2008.12.19	-
Sophos	4.37.0	2008.12.19	-
Sunbelt	3.2.1801.2	2008.12.11	-
Symantec	10	2008.12.19	-
TheHacker	6.3.1.4.191	2008.12.17	-
TrendMicro	8.700.0.1004	2008.12.19	-
VBA32	3.12.8.10	2008.12.18	-
ViRobot	2008.12.19.1527	2008.12.19	-
VirusBuster	4.5.11.0	2008.12.18	-
Additional information
File size: 148496 bytes
MD5...: 0aa3ad071827118fcc8f37f7a6ab7aa1
SHA1..: 59784c49ffe530931010070c8843366f9d7fa6f0
SHA256: 3e893bcf9e3ec8fa44c8ef0cf7c2d269212651d65c16b30bd953cc3a54f3b2aa
SHA512: b56442c4271033f9547727ac097fc903f0bd51c062f415726aeee3e6abde24e1
ec127cb548086d5429ff4dc4e78c322b2594bb4f29f817338299f6c9c23bbc25
ssdeep: 3072:xoZsjyhxlNCet3MATPO1jUFLVFnRkPjcow9gT7wNwSk7Fa/4NJ:xnjyhx8A
d6jcpgTsW/KqJ
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x33010
timedatestamp.....: 0x4873470a (Tue Jul 08 10:52:58 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a848 0x1aa00 6.38 ca8bbffb8c1aac75560de3ffede16f38
NONPAGED 0x1c000 0x25 0x200 0.30 76fbfaa1c4997eccce3ca016c3b1345b
.rdata 0x1d000 0x850 0xa00 4.25 6ffc26ac817e2ae1a1cf5ce42adc9f0b
.data 0x1e000 0x1b00 0x600 6.42 2680643c152bf562cae4ab5d1ed2070c
PAGE 0x20000 0x2cdc 0x2e00 6.28 7516763c152ec5b6c5df87c555fadbb5
INIT 0x23000 0x1b88 0x1c00 5.96 4459dca4b85a564cb98f26cfbff36fbe
.rsrc 0x25000 0x400 0x400 3.36 09f200edb8e02e6fa4ab2f6bc27ad921
.reloc 0x26000 0x1b6e 0x1c00 6.47 5d73a4e2a3be56c2448dbd9511deefa3

( 3 imports ) 
> ntoskrnl.exe: IoAllocateWorkItem, RtlDeleteElementGenericTableAvl, RtlGetElementGenericTableAvl, FsRtlIsNameInExpression, RtlInsertElementGenericTableAvl, InitSafeBootMode, InterlockedPopEntrySList, InterlockedPushEntrySList, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, SeTokenType, SeCreateClientSecurity, SeImpersonateClientEx, IoVerifyVolume, IoDeviceObjectType, IoBuildSynchronousFsdRequest, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, MmIsAddressValid, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, RtlAppendUnicodeToString, KeDelayExecutionThread, KeQuerySystemTime, strncmp, IoGetCurrentProcess, ExGetPreviousMode, SeReleaseSubjectContext, IoQueueWorkItem, SeCaptureSubjectContext, PsDereferenceImpersonationToken, RtlCopySid, RtlLengthSid, SeQueryInformationToken, PsReferencePrimaryToken, PsReferenceImpersonationToken, PsIsThreadTerminating, IoThreadToProcess, RtlInitializeGenericTableAvl, READ_REGISTER_UCHAR, ProbeForRead, RtlLookupElementGenericTableAvl, ObQueryNameString, CmUnRegisterCallback, MmUserProbeAddress, CmRegisterCallback, ZwEnumerateValueKey, ZwDeleteValueKey, ZwQueryKey, wcsrchr, NtBuildNumber, KeClearEvent, ExInitializePagedLookasideList, ExDeletePagedLookasideList, PsLookupProcessByProcessId, RtlCopyUnicodeString, RtlNumberGenericTableElementsAvl, RtlEnumerateGenericTableAvl, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, PsRemoveCreateThreadNotifyRoutine, PsRemoveLoadImageNotifyRoutine, IoFreeWorkItem, IofCompleteRequest, IoWMIRegistrationControl, MmGetSystemRoutineAddress, RtlCompareMemory, IoWMIWriteEvent, ZwQueryInformationProcess, KeStackAttachProcess, _wcsicmp, KeUnstackDetachProcess, ZwOpenKey, ZwEnumerateKey, RtlUnicodeStringToInteger, ZwQueryValueKey, ZwCreateKey, RtlIntegerToUnicodeString, ZwSetValueKey, RtlAppendUnicodeStringToString, ZwDeleteKey, DbgBreakPoint, ZwCreateFile, IoGetRelatedDeviceObject, _vsnwprintf, KeQueryInterruptTime, strncpy, RtlInitUnicodeString, RtlCompareUnicodeString, IoFileObjectType, ObReferenceObjectByPointer, _allmul, KeWaitForMultipleObjects, KeSetEvent, ExDeleteResourceLite, ExInitializeResourceLite, memcpy, _except_handler3, ZwOpenProcess, ZwTerminateProcess, PsCreateSystemThread, ObReferenceObjectByHandle, ZwClose, PsTerminateSystemThread, ObfDereferenceObject, KeGetCurrentThread, PsGetCurrentProcessId, PsGetCurrentThreadId, RtlUpcaseUnicodeChar, RtlUpperChar, memset, ExAllocatePoolWithTag, KeInitializeEvent, IoBuildDeviceIoControlRequest, IofCallDriver, KeWaitForSingleObject, SeQueryAuthenticationIdToken, ExFreePoolWithTag
> HAL.dll: KfReleaseSpinLock, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock
> FLTMGR.SYS: FltQueryInformationFile, FltGetRoutineAddress, FltIsDirectory, FltGetFileNameInformation, FltParseFileNameInformation, FltAllocateCallbackData, FltPerformSynchronousIo, FltFreeCallbackData, FltReferenceFileNameInformation, FltReleaseFileNameInformation, FltGetStreamHandleContext, FltGetStreamContext, FltEnumerateVolumeInformation, FltRegisterFilter, FltStartFiltering, FltSetCallbackDataDirty, FltGetDestinationFileNameInformation, FltSetStreamHandleContext, FltCancelFileOpen, FltSetStreamContext, FltReleaseContext, FltGetVolumeProperties, FltAllocateContext, FltQueryVolumeInformation, FltGetVolumeName, FltSetInstanceContext, FltSetVolumeContext, FltUnregisterFilter, FltFsControlFile, FltGetVolumeFromFileObject, FltGetVolumeContext, FltGetInstanceContext, FltCreateFile, FltClose, FltFlushBuffers, FltSetInformationFile, FltWriteFile, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltObjectReference, FltAllocatePoolAlignedWithTag, FltReadFile, FltFreePoolAlignedWithTag, FltObjectDereference, FltSendMessage, FltCloseClientPort, FltCloseCommunicationPort, FltReleaseResource, FltAcquireResourceShared, FltAcquireResourceExclusive, FltGetFileNameInformationUnsafe

( 0 exports )
         

Zitat:

PS: Was ist das eigentlich für ein Ordner?

Zitat:

Das ist ein Ordner auf meinem Desktop, in dem das Kaspersky Virus Removal Tool rumliegt. So wie all die anderen schicken Dinge, die ich im Laufe dieser Odyssee runtergeladen habe, jetzt auf dem Desktop liegen. Wieso fragst du?

Jo, die logs sehen gut aus. Wenn's keineAuffälligkeiten mehr gibt bist du entlassen..

*uff*

Vielen Dank für den Support. Ich vermute mal, durchs viele Aufräumen ist alles schon ein bißchen schneller geworden, die komische Fehlermeldung hatte ich jetzt tagelang nicht mehr und dass der sich am Anfang am AVG-Start so lange aufhält, ist wohl nicht zu ändern....

Wirklich ein irrsinnig guter Service hier - vielen Dank nochmal!