gefunden:

WORM/Autorun.VGF.1

im Outlook.pst

Wäre nicht gut wenn die Datenbank befallen wäre

aktuell 8,2 %

Gaaaaaaaanz durchlaufen lassen bitte

ja läuft noch , gerade bei 20 %

hehe, wenns so lange dauert ist er sehr sehr gründlich bei der Sache

Zitat:

Du könntest meinen Post auch parallel zum Scan machen ...

Zitat:

ich will, ich will, ich will aber zuerst!!! <--- oder parallel

Merkt ihr, ich kann Kompromisse machen

Japp, das sieht man sehr sehr deutlich )

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. März 2009 21:28

Es wird nach 1304949 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: THEBRAIN

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 12:40:07
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 13:54:51
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 13:54:52
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 13:54:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:40:26
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 15:37:51
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 13:57:02
ANTIVIR3.VDF : 7.1.2.182 183296 Bytes 17.03.2009 16:06:36
Engineversion : 8.2.0.116
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 20:55:55
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 12.03.2009 22:02:03
AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 17:12:59
AERDL.DLL : 8.1.1.3 438645 Bytes 10.11.2008 12:30:45
AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 17:12:07
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.02.2009 10:34:14
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 17:12:58
AEHELP.DLL : 8.1.2.2 119158 Bytes 28.02.2009 10:34:11
AEGEN.DLL : 8.1.1.29 336245 Bytes 17.03.2009 16:06:37
AEEMU.DLL : 8.1.0.9 393588 Bytes 17.10.2008 14:45:30
AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 21:38:18
AEBB.DLL : 8.1.0.3 53618 Bytes 17.10.2008 14:45:28
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 13:54:51
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 13:54:51
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:14:27
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 13:54:51
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 13:31:50
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 13:54:51
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 13:31:50
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 13:54:52
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 13:31:50
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 13:54:49
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 13:54:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:, G:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 17. März 2009 21:28

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '54441' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'advhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dlpwdnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dlsdbnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVIC~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRAYAP~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATALA~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dlpsp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Le Cheffe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst
[0] Archivtyp: MS Outlook Mailbox
--> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][XXXXXXXXXXXXXXX]2273.Ebay-Rechnung.pdf.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][XXXXXXXXXXXXXXXXX]2273.Ebay-Rechnung.pdf.zip
[1] Archivtyp: ZIP
--> Ebay-Rechnung.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.EbayBill
--> Mailbox_[Folder:Gel schte Objekte][Subject:Ratenzahlung][From:mfunb@bradleyjoseph.com]3352.Rechnung.zip
[1] Archivtyp: ZIP
--> zertifikat.ssl
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BD
--> Mailbox_[Folder:Gel schte Objekte][Subject:Abmahnung][From:qyagrammatical@balneariosannicolas.e.telefonica.net]3495.Mahnung05.zip
[1] Archivtyp: ZIP
--> Mahnung.scr
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BI
--> Mailbox_[Folder:Gesendete Objekte][Subject:Abmahnung][From:XXXXXXXXXXXXXX]3498.Mahnung05.zip
[1] Archivtyp: ZIP
--> Mahnung.scr
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BI
--> Mailbox_[Folder:Gel schte Objekte][Subject:Abrechnung 77184701619][From:dwrepairclinicm@repairclinic.com]3685.abrechnung.zip
[1] Archivtyp: ZIP
--> scann/scann.a
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BR
--> abrechnung.lnk
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.VGF.1
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
Beginne mit der Suche in 'F:\' <Betriebssystem>
Beginne mit der Suche in 'G:\' <XXXXXXXXXXX>
G:\RECYCLER\S-1-5-21-1006017120-1759559777-1203162895-1005\Dd23.mp3
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Banuris.P2P
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f215f6.qua' verschoben!
G:\Sicherung_von_C\backup.pst
[0] Archivtyp: MS Outlook Mailbox
--> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][XXXXXXXXXXXXXXXX]2702.Ebay-Rechnung.pdf.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][From:XXXXXXXXXXXXXX]2702.Ebay-Rechnung.pdf.zip
[1] Archivtyp: ZIP
--> Ebay-Rechnung.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.EbayBill
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
G:\Sicherung_von_C\Outlook.pst
[0] Archivtyp: MS Outlook Mailbox
--> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][From:kontakt@bestellbeimir.de]1969.Ebay-Rechnung.pdf.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][From:kontakt@bestellbeimir.de]1969.Ebay-Rechnung.pdf.zip
[1] Archivtyp: ZIP
--> Ebay-Rechnung.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.EbayBill
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!


Ende des Suchlaufs: Dienstag, 17. März 2009 22:34
Benötigte Zeit: 1:06:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5041 Verzeichnisse wurden überprüft
275257 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
11 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
275244 Dateien ohne Befall
2583 Archive wurden durchsucht
4 Warnungen
1 Hinweise
54441 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Mein lieber Specht, Avira hat ja gute Arbeit geleistet, also ich würde an deiner stelle nun das durchgehen was a5cl3p1o5 dir anrät

Dann sehen wir so langsam aber sicher weiter

Datei advhost.exe empfangen 2009.03.17 22:48:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/39 (7.7%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.17 -
AhnLab-V3 5.0.0.2 2009.03.17 -
AntiVir 7.9.0.116 2009.03.17 -
Authentium 5.1.0.4 2009.03.17 -
Avast 4.8.1335.0 2009.03.17 -
AVG 8.0.0.237 2009.03.17 -
BitDefender 7.2 2009.03.17 -
CAT-QuickHeal 10.00 2009.03.17 -
ClamAV 0.94.1 2009.03.17 -
Comodo 1062 2009.03.17 -
DrWeb 4.44.0.09170 2009.03.17 -
eSafe 7.0.17.0 2009.03.17 Suspicious File
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.17 -
F-Secure 8.0.14470.0 2009.03.17 -
Fortinet 3.117.0.0 2009.03.17 -
GData 19 2009.03.17 -
Ikarus T3.1.1.45.0 2009.03.17 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.17 -
McAfee 5556 2009.03.17 -
McAfee+Artemis 5556 2009.03.17 -
McAfee-GW-Edition 6.7.6 2009.03.17 -
Microsoft 1.4405 2009.03.17 -
NOD32 3944 2009.03.17 -
Norman 6.00.06 2009.03.17 -
nProtect 2009.1.8.0 2009.03.17 -
Panda 10.0.0.10 2009.03.17 -
PCTools 4.4.2.0 2009.03.17 -
Prevx1 V2 2009.03.17 -
Rising 21.21.12.00 2009.03.17 -
Sophos 4.39.0 2009.03.17 -
Sunbelt 3.2.1858.2 2009.03.17 -
Symantec 1.4.4.12 2009.03.17 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.17 PAK_Generic.001
VBA32 3.12.10.1 2009.03.16 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2009.3.17.1652 2009.03.17 -
VirusBuster 4.6.5.0 2009.03.17 -
weitere Informationen
File size: 101912 bytes
MD5...: 3974666bafe7b612ab05fc5cd31a8b08
SHA1..: d410ec7450139837b0ad4a41d0e900df13146f80
SHA256: 70c6c51f64946ac00d5a13b80daf8b88661e251316d09546fac94fe03e243e34
SHA512: 71aaa65f76c367d05dad06a6837c0669946f531ba99440390ee0f461e941dae6
7a2ce6024090b63ee52cb85f42778511df7c39d273f22f464df8c61c464127d6
ssdeep: 1536:9VspgBLoT6afiddxH5p4f0S1sgKQd9Qa0xU0lrfoj8JB9TBIlaBiQvpMRhC
SD2rYpvpanxf4fPsgKqCUe0j8lTdwWKRhNc

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xe2c50
timedatestamp.....: 0x49b6ad55 (Tue Mar 10 18:11:33 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xcb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xcc000 0x17000 0x17000 7.92 9bca4d691a641bf68555f0cb2ba3aeb6
.rsrc 0xe3000 0x2000 0x1600 4.24 c712d6786680cd48191615ec42a9f3ea

( 14 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegFlushKey
> COMCTL32.dll: ImageList_Draw
> GDI32.dll: BitBlt
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: -
> SHLWAPI.dll: UrlEscapeW
> urlmon.dll: URLDownloadToFileW
> USER32.dll: GetDC
> USERENV.dll: UnloadUserProfile
> WININET.dll: InternetOpenW
> WS2_32.dll: -

( 0 exports )

packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

Datei adlaunch32.dll empfangen 2009.03.17 22:53:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/39 (2.57%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.17 -
AhnLab-V3 5.0.0.2 2009.03.17 -
AntiVir 7.9.0.116 2009.03.17 -
Authentium 5.1.0.4 2009.03.17 -
Avast 4.8.1335.0 2009.03.17 -
AVG 8.0.0.237 2009.03.17 -
BitDefender 7.2 2009.03.17 -
CAT-QuickHeal 10.00 2009.03.17 -
ClamAV 0.94.1 2009.03.17 -
Comodo 1062 2009.03.17 -
DrWeb 4.44.0.09170 2009.03.17 -
eSafe 7.0.17.0 2009.03.17 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.17 -
F-Secure 8.0.14470.0 2009.03.17 -
Fortinet 3.117.0.0 2009.03.17 -
GData 19 2009.03.17 -
Ikarus T3.1.1.45.0 2009.03.17 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.17 -
McAfee 5556 2009.03.17 -
McAfee+Artemis 5556 2009.03.17 -
McAfee-GW-Edition 6.7.6 2009.03.17 -
Microsoft 1.4405 2009.03.17 -
NOD32 3944 2009.03.17 -
Norman 6.00.06 2009.03.17 -
nProtect 2009.1.8.0 2009.03.17 -
Panda 10.0.0.10 2009.03.17 -
PCTools 4.4.2.0 2009.03.17 -
Prevx1 V2 2009.03.17 -
Rising 21.21.12.00 2009.03.17 -
Sophos 4.39.0 2009.03.17 -
Sunbelt 3.2.1858.2 2009.03.17 -
Symantec 1.4.4.12 2009.03.17 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.17 -
VBA32 3.12.10.1 2009.03.16 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2009.3.17.1652 2009.03.17 -
VirusBuster 4.6.5.0 2009.03.17 -
weitere Informationen
File size: 66592 bytes
MD5...: 91c70cd1750ebcfbb3f6a828cdcf3040
SHA1..: 49564debb6d954590010552e9b3ba55fdbf010ee
SHA256: c22f68374776b6b1ecf7e1929b51320d0d020a4468c415dca3b533db84db89f9
SHA512: b2dfe15c6cdb9c06eb5497f6f01bae65cecf0b3a49e5f12e116242c754cfccbf
ad115398b0655e977a4d8e909d116c0a823f3f92c95f39fdf22d3aa40e3d24d8
ssdeep: 768:kHk1QAca+W+3/6ccIUEAxd3uK9yCk6B0+/kw98A6KPV/OulN+azlxVym:iLz
PHRUEcYCk1+/kwOAzPEulNNlxVym

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2e13
timedatestamp.....: 0x49b6ad4b (Tue Mar 10 18:11:23 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7b2a 0x8000 6.46 0d2db69b18835dc92303bf52fe9e1ab7
.rdata 0x9000 0x20f2 0x3000 3.84 cd38ff408882edd683043bf9ad75411d
.data 0xc000 0x2544 0x1000 1.77 9411bc2ef595295fd709ca0354d01ea2
ad_share 0xf000 0x628 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.reloc 0x10000 0x12b0 0x2000 2.67 88c6ed4b02a7b41f250cd35e68e969ed

( 6 imports )
> KERNEL32.dll: CloseHandle, OpenMutexW, TerminateThread, MultiByteToWideChar, Sleep, SetThreadPriority, CreateThread, DisableThreadLibraryCalls, RaiseException, InitializeCriticalSection, DeleteCriticalSection, SizeofResource, LockResource, LoadResource, FindResourceW, FindResourceExW, GetVersionExW, GetProcAddress, GetCurrentProcess, GetModuleHandleExW, GetLastError, GetPrivateProfileStringW, GetModuleHandleW, FlushFileBuffers, GetSystemInfo, VirtualProtect, GetStringTypeW, GetStringTypeA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, LCMapStringW, LCMapStringA, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadReadPtr, LoadLibraryA, SetFilePointer, WriteFile, UnhandledExceptionFilter, GetEnvironmentStringsW, SetStdHandle, GetVersionExA, EnterCriticalSection, LeaveCriticalSection, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, ExitProcess, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, SetUnhandledExceptionFilter, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, TerminateProcess, VirtualQuery, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte
> USER32.dll: RegisterWindowMessageW, FindWindowW, SetWindowsHookExW, SendMessageW, UnhookWindowsHookEx, CallNextHookEx, GetDesktopWindow
> ADVAPI32.dll: OpenProcessToken, GetTokenInformation
> SHELL32.dll: SHGetFolderPathW, ShellExecuteExW, ShellExecuteW
> OLEAUT32.dll: -, -
> SHLWAPI.dll: PathAppendW

( 4 exports )
DllCanUnloadNow, DllGetAdvTimestamp, DllRunNonElevated, DllStopThread

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=91c70cd1750ebcfbb3f6a828cdcf3040' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=91c70cd1750ebcfbb3f6a828cdcf3040</a>


so die 2. datei ...

der Eintrag wurde auch gefixt, ich hoffe ich habe nichts vergessen oder übersehen

mal eine Frage: wie wichtig sind Dir Deine gespeicherten Mails. Kannst Du darauf verzichten?

*Kurz einmische*

Lade die beiden Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\advhost.exe
C:\WINDOWS\system32\adlaunch32.dll
         

Bitte hier: Malwarebytes.org
und hier: Submit your sample

Gib bei Avira als Namen bitte das hier an: http://www.trojaner-board.de/71128-internetstartseite.html

ciao, andreas
*wieder weg bin*

die mails sind schon sehr wichtig, die alte sicherung kann ich aber löschen, das ist kein problem ...

Ich empfehle Dir eine Neuinstallation. Ich kann nicht einschätzen, was die zwei Dateien genau bewirken. Daher auch der Rat von john.doe, die Dateien einzuschicken. Somit sind wir in ein paar Tagen evtl. schlauer.

Lösche die beiden Dateien, nachdem Du sie eingeschickt hast. Markiere sie und drücke Shift+Entf, dann werden sie gleich richtig gelöscht und nicht in den Papierkorb verschoben.

Bezüglich Deiner Mails rate ich Dir, auf alle Emails mit Anhängen zu verzichten. Öffne Outlook und sortiere die Emails danach, ob sie Anhänge haben oder nicht. Lösche alle Emails mit Anhängen - leere den "gelöscht" Ordner in Outlook. Exportiere dann die Mails ohne Anhänge und sichere sie.
Alle Datenträger müssen auch auf Viren geprüft werden. Sonst kann es sein, dass Dein Computer sich darüber wieder ansteckt... Beachte die oben verlinkte Anleitung.

Grüße
a5cl3p1o5