Virus von MP3_player

Hoktar · 21.03.2009, 23:09

Hallo

Habe seit heute einen neuen MP3-PLayer. Nach der Automatischen Installation wurde mir von avira_antivir ein Virus oder ähnliches gefunden. (weiß nicht mehr genau). Leider habe ich gedacht, das auf einem neuen MP3-PLayer nichts schädliches sein kann und habe es ignoriert. Darauf hin hat Antivir noch mehr gefunden, was ich gleich darauf löschen ließ. Dabei wahr sogar das Antivir selbst. Dies löschte ich aus versehen auch und nach einem neustart des Systems startete Antivir nicht mehr. Deinstallation und neuinstallaion von Antivir war nicht möglich. Danach ahbe ich eine Test Version instaliert von Kaspersk. Das läuft und finden jede menge und macht danach einen neustart. Danach findet es wieder das selbe.

Nun bitte ich euch um Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 22:56:13, on 21.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\reader_s.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Dokumente und Einstellungen\Administrator\reader_s.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\TEMP\VRT4.tmp
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX79.109\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Rundll] C:\WINDOWS\system32\rundll.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Administrator\reader_s.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\AVSETUP_49c534cd\basic\avupgsvc.exe" /TEMPSTART:""C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\AVSETUP_49c534cd\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE (file missing)
O23 - Service: Kaspersky Anti-Virus (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" -r (file missing)

Vielen dank für eure Hilfe!

MfG Bastian

nochdigger · 22.03.2009, 07:08

Hallo

Zitat:

Habe seit heute einen neuen MP3-PLayer.

hattest du den Player ganz frisch aus einem Geschäft und dann gleich bei dir angepinnt oder hing der vorher schon wo anders dran?

Zitat:

Nach der Automatischen Installation wurde mir von avira_antivir ein Virus oder ähnliches gefunden. (weiß nicht mehr genau).

das ist schlecht...

Zitat:

Danach ahbe ich eine Test Version instaliert von Kaspersk. Das läuft und finden jede menge und macht danach einen neustart. Danach findet es wieder das selbe.

dann schreibe doch bitte wenigstens hier was wo gefunden wurde (Pfad/Dateiname), wir sind hier alle keine Hellseher.

Lass diese Dateien (ich fürchte nix Gutes)
C:\WINDOWS\system32\rundll.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\services.exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG

Hoktar · 22.03.2009, 10:29

Hi

Nein hatte den MP3-Player ganz neu. Er sah auch noch nicht so aus als währe er schon mal ausgepackt worden. Ich hatte ihn bis jetzt nur an diesem PC.

Zitat:

Zitat:
Danach ahbe ich eine Test Version instaliert von Kaspersk. Das läuft und finden jede menge und macht danach einen neustart. Danach findet es wieder das selbe.

dann schreibe doch bitte wenigstens hier was wo gefunden wurde (Pfad/Dateiname), wir sind hier alle keine Hellseher.

Virus.Win32.Virut.n wurde c:\windows\system32\spoolsv.exe gefunden
Email-Worm.Win32.Mydoom.bj wurde c:\WINDOWS\system32\vnetstats.exe//PE_PATCH.UPX//UPX

Zitat:

C:\WINDOWS\system32\rundll.exe

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.22 -
AhnLab-V3 5.0.0.2 2009.03.22 -
AntiVir 7.9.0.120 2009.03.21 W32/Virut.Gen
Authentium 5.1.2.4 2009.03.21 W32/Patched.E.gen!Eldorado
Avast 4.8.1335.0 2009.03.21 -
AVG 8.5.0.283 2009.03.21 -
BitDefender 7.2 2009.03.22 -
CAT-QuickHeal 10.00 2009.03.21 -
ClamAV 0.94.1 2009.03.22 -
Comodo 1078 2009.03.21 -
DrWeb 4.44.0.09170 2009.03.22 -
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6409 2009.03.20 -
F-Prot 4.4.4.56 2009.03.21 W32/Patched.E.gen!Eldorado
F-Secure 8.0.14470.0 2009.03.21 -
Fortinet 3.117.0.0 2009.03.22 -
GData 19 2009.03.22 -
Ikarus T3.1.1.48.0 2009.03.22 -
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.22 -
McAfee 5560 2009.03.21 -
McAfee+Artemis 5560 2009.03.21 -
McAfee-GW-Edition 6.7.6 2009.03.21 Win32.Virut.Gen
Microsoft 1.4502 2009.03.22 -
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.22 -
Panda 10.0.0.10 2009.03.21 -
PCTools 4.4.2.0 2009.03.21 -
Prevx1 V2 2009.03.22 -
Rising 21.21.52.00 2009.03.21 -
Sophos 4.39.0 2009.03.22 -
Sunbelt 3.2.1858.2 2009.03.21 -
Symantec 1.4.4.12 2009.03.22 -
TheHacker 6.3.3.3.287 2009.03.22 -
TrendMicro 8.700.0.1004 2009.03.20 -
VBA32 3.12.10.1 2009.03.22 -
ViRobot 2009.3.20.1658 2009.03.20 -
VirusBuster 4.6.5.0 2009.03.21 -
weitere Informationen
File size: 33792 bytes
MD5...: 87318df16308f68b5df1f562d0932d81
SHA1..: 9386ee6afa13080eeffd56b00af1a4a7ff1bafbc
SHA256: 5c72018a6cc2d89d247035d3f3dfa8b8382b0585f91b25cd52ac9844db026a8f
SHA512: 4e9d4fd6024048776ce33ddcbeec1c8a799bacb08cbcc34c2e03a8b874338729
aad652a16f0db732638f8ff6b937357f0a7db03400cdc46f63c838ebf16f4db4
ssdeep: 384:+dvAw66vILDXNRhbHeJh8+oXBjxJd5IyYQGSbdkDjkoebjDISav3WFKFX:+v
AOEbSEln5IyYpamDjobj8Sav8OX
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1bdc
timedatestamp.....: 0x20202020 (Fri Jan 30 03:38:08 1987)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x126a 0x1400 5.98 97ff84b75eadabc20339b518e590f1f1
.data 0x3000 0x38 0x200 0.25 a7f7e8f7f41d7ffb4b369fe282510650
.rsrc 0x4000 0xda00 0x6a00 5.63 65ab8b577a145d407e496997d3d0f4e5

( 5 imports )
> msvcrt.dll: _except_handler3, _wtoi, _vsnwprintf
> KERNEL32.dll: FreeLibrary, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, FormatMessageW, GetLastError, LoadLibraryW, ActivateActCtx, CreateActCtxW, SearchPathW, GetFileAttributesW, ReleaseActCtx, DeactivateActCtx, SetErrorMode, ExitProcess, GetModuleHandleW, GetStartupInfoW, GetCommandLineW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> GDI32.dll: GetStockObject
> USER32.dll: RegisterClassW, LoadStringW, CharNextW, SetClassLongW, LoadIconW, DefWindowProcW, CreateWindowExW, MessageBoxW, LoadCursorW, DestroyWindow
> IMAGEHLP.dll: ImageDirectoryEntryToData

( 0 exports )

Zitat:

C:\WINDOWS\System32\reader_s.exe

a-squared 4.0.0.101 2009.03.22 Trojan-PWS.Papras!IK
AhnLab-V3 5.0.0.2 2009.03.22 -
AntiVir 7.9.0.120 2009.03.21 TR/PSW.Papras.N
Authentium 5.1.2.4 2009.03.21 -
Avast 4.8.1335.0 2009.03.21 Win32:Vupa
AVG 8.5.0.283 2009.03.21 SHeur2.WNC
BitDefender 7.2 2009.03.22 Trojan.PWS.Papras.N
CAT-QuickHeal 10.00 2009.03.21 Trojan.Agent2.fsa
ClamAV 0.94.1 2009.03.22 -
Comodo 1078 2009.03.21 -
DrWeb 4.44.0.09170 2009.03.22 Trojan.DownLoad.29459
eSafe 7.0.17.0 2009.03.19 Suspicious File
eTrust-Vet 31.6.6409 2009.03.20 -
F-Prot 4.4.4.56 2009.03.21 -
F-Secure 8.0.14470.0 2009.03.21 Trojan.Win32.Agent2.fsa
Fortinet 3.117.0.0 2009.03.22 PossibleThreat
GData 19 2009.03.22 Trojan.PWS.Papras.N
Ikarus T3.1.1.48.0 2009.03.22 Trojan-PWS.Papras
K7AntiVirus 7.10.678 2009.03.21 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.03.22 Trojan.Win32.Agent2.fsa
McAfee 5560 2009.03.21 Generic.dx
McAfee+Artemis 5560 2009.03.21 Generic.dx
McAfee-GW-Edition 6.7.6 2009.03.21 Trojan.PSW.Papras.N
Microsoft 1.4502 2009.03.22 -
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.22 Trojan/W32.Agent2.37376.C
Panda 10.0.0.10 2009.03.21 Trj/CI.A
PCTools 4.4.2.0 2009.03.21 -
Prevx1 V2 2009.03.22 Medium Risk Malware
Rising 21.21.62.00 2009.03.22 Trojan.Win32.Nodef.gno
Sophos 4.39.0 2009.03.22 Mal/EncPk-HJ
Sunbelt 3.2.1858.2 2009.03.21 Trojan.Win32.Agent2.fsa
Symantec 1.4.4.12 2009.03.22 Trojan Horse
TheHacker 6.3.3.3.287 2009.03.22 Trojan/Agent2.fsa
TrendMicro 8.700.0.1004 2009.03.22 TROJ_AGENT.CHB
VBA32 3.12.10.1 2009.03.22 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2009.3.20.1658 2009.03.20 -
VirusBuster 4.6.5.0 2009.03.21 -
weitere Informationen
File size: 37376 bytes
MD5...: b21c88a7add7afac981011013cc37bba
SHA1..: 8d6fd06d1bff66c83271dfd3b639dcd751f5da66
SHA256: 31816e9aca3b477b7052b32d5d8f483eaffeb08ce468a1107e1b6df08799ee2c
SHA512: 5f91217c0f191cc6449fb25d633ff967a17b99d34c7ca86ab866a77c27114daf
e5fa6f5f8fcb71b3901bdf6611bf0e5273b71efa8ca88a19bbb8f8c8e20e9381
ssdeep: 768:kmv6IAFOHWsBY7Yj39EiRsUdhqW+VtsFOBENu8cNiudNXD/g:kY6IAFIYExR
lhqhUUyNuLNDdNXc
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (88.0%)
Win32 Dynamic Link Library (generic) (7.8%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x75a0
timedatestamp.....: 0x47d0f256 (Fri Mar 07 07:44:22 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8000 0x7400 7.83 e27fb063f102ee6377d932465615f945
.rdata 0x9000 0x1000 0xc00 3.94 bbeb986149b060bd8aa9e7c4f2a6a66c
.data 0xa000 0x1000 0x800 5.47 34cc17082de2ff21c92622f0a41b7dda
.rsrc 0xb000 0x3f0 0x400 3.43 a1141a0b74c163a7bd5eba40e80f4450
_win 0xc000 0x200 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 4 imports )
> MSVCRT.dll: __p__fmode, strtol, strcpy, strcspn, _XcptFilter, memcpy, _strtime, exit, _wfullpath, _controlfp
> GDI32.dll: CreateDIBSection, StartDocW, CreateRectRgn, CreateSolidBrush, DeleteDC, EndDoc, RestoreDC, GetDeviceCaps, StartPage, Polyline, RectInRegion
> KERNEL32.dll: EnumSystemCodePagesA, GetVolumeInformationW, FindNextChangeNotification, ConsoleMenuControl, MoveFileWithProgressA, SetFilePointerEx, WaitNamedPipeA, FreeLibrary, SetVDMCurrentDirectories, GetWriteWatch
> ulib.dll: _Initialize@TIMEINFO_ARGUMENT@@QAEEPAD@Z, _Resize@DSTRING@@UAEEK@Z, _Construct@WSTRING@@IAEXXZ, __1MESSAGE@@UAE@XZ, _QueryTimeOut@COMM_DEVICE@@QBEEXZ, _DisableBreakHandling@KEYBOARD@@SGEXZ, __0LONG_ARGUMENT@@QAE@XZ, __1PROGRAM@@UAE@XZ, _Initialize@TIMEINFO@@QAEEPAU_FILETIME@@@Z

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b21c88a7add7afac981011013cc37bba' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b21c88a7add7afac981011013cc37bba</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=EC59507E00D16DCC922300CEC23D1300ADCA464A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=EC59507E00D16DCC922300CEC23D1300ADCA464A</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b21c88a7add7afac981011013cc37bba' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b21c88a7add7afac981011013cc37bba</a>

Zitat:

C:\WINDOWS\services.exe

a-squared 4.0.0.101 2009.03.22 -
AhnLab-V3 5.0.0.2 2009.03.22 Win-Trojan/Krap.11433445
AntiVir 7.9.0.120 2009.03.21 W32/Virut.Gen
Authentium 5.1.2.4 2009.03.21 -
Avast 4.8.1335.0 2009.03.21 -
AVG 8.5.0.283 2009.03.21 SpamTool.CGX
BitDefender 7.2 2009.03.22 -
CAT-QuickHeal 10.00 2009.03.21 Trojan.Krap.i
ClamAV 0.94.1 2009.03.22 -
Comodo 1078 2009.03.21 -
DrWeb 4.44.0.09170 2009.03.22 BackDoor.Tdss.107
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6409 2009.03.20 -
F-Prot 4.4.4.56 2009.03.21 -
F-Secure 8.0.14470.0 2009.03.21 Packed.Win32.Krap.i
Fortinet 3.117.0.0 2009.03.22 -
GData 19 2009.03.22 -
Ikarus T3.1.1.48.0 2009.03.22 -
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.22 Packed.Win32.Krap.i
McAfee 5560 2009.03.21 Spam-Mailbot.h.gen.a
McAfee+Artemis 5560 2009.03.21 Spam-Mailbot.h.gen.a
McAfee-GW-Edition 6.7.6 2009.03.21 Win32.Virut.Gen
Microsoft 1.4502 2009.03.22 Spammer:Win32/Tedroo.gen!A
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.22 -
Panda 10.0.0.10 2009.03.21 -
PCTools 4.4.2.0 2009.03.21 -
Prevx1 V2 2009.03.22 High Risk Cloaked Malware
Rising 21.21.62.00 2009.03.22 Trojan.Win32.Nodef.gjf
Sophos 4.39.0 2009.03.22 Mal/WaledPak-E
Sunbelt 3.2.1858.2 2009.03.21 -
Symantec 1.4.4.12 2009.03.22 -
TheHacker 6.3.3.3.287 2009.03.22 -
TrendMicro 8.700.0.1004 2009.03.22 -
VBA32 3.12.10.1 2009.03.22 BScope.Zhelatin.14
ViRobot 2009.3.20.1658 2009.03.20 -
VirusBuster 4.6.5.0 2009.03.21 -
weitere Informationen
File size: 29696 bytes
MD5...: f87be42476fda7c34d53f6237e29790f
SHA1..: db0f5c04277214cb13592d550fc65185a494a013
SHA256: 9bafa0fde17faf99297dc2f0b52f3c44b71ba231e04899e2458b24226a7f81ef
SHA512: 57e8377bfc7ea746f03b0f59ab755bf95b534ac35863147bdddd8198fd87fd0e
2b9c29c5a52383f22a9bcf50db43b96531d122af66bfa1c56b07141a5e58984c
ssdeep: 384:JOSe8DfHUPPIa+0zDBmam0qSQ7mBqsONcU0UiUqHcONigKpUIMO8SnPaCZ:J
OSe8DHwg50zFmaHdBRU0UacONI8SP
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ce8
timedatestamp.....: 0x20202020 (Fri Jan 30 03:38:08 1987)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f63 0x1c00 6.24 9d74e2c89a3a301b9065a5fa28e6ec71
.data 0x3000 0x1b37 0x1000 6.44 a1aab701dc44276d2aa7e189d9071c6c
.0001 0x5000 0x1267 0x800 5.04 133ae4e6a8030beb6d41a07b717b7311
.0002 0x7000 0x137a 0x800 5.13 1a64fde55580083099d74f5b4548ea3a
.0003 0x9000 0x12ff 0x800 5.49 49b6309bb7785b8ccdb2150d5c7922b9
.0004 0xb000 0x10fc 0x800 5.19 fd992e965b1cb3a9dd7db94da4aa7860
.0005 0xd000 0x13fe 0x800 5.13 916ede382ec60eb78240f549e5c03452
.0006 0xf000 0x14dd 0x800 5.23 25c5432b71d7b0bf5305c3ca10a77dc8
.0007 0x11000 0xae85e5 0x1400 6.56 9350e8a0b5c48fdc03b5b1c302adf6af

( 3 imports )
> msvcrt.dll: __STRINGTOLD, __p__tzname, tolower, __p__winver, _mbsupr, _ftol, _atodbl, __p__environ, _wctime, _wexeclpe, _wcslwr, _gcvt, ldexp
> KERNEL32.DLL: TransactNamedPipe, GetTickCount, VirtualAlloc, GetDriveTypeW, UTUnRegister, SetLocaleInfoW, Sleep, GetModuleHandleA, GlobalUnfix, ExitProcess, lstrcpyA, GetDriveTypeA, GetVolumeInformationW, GetStringTypeA, GetStartupInfoW, VirtualFree, GetDiskFreeSpaceA, GlobalFree, SetErrorMode, GetCurrentProcess, PulseEvent, SetCalendarInfoW, GetCommandLineW
> GDI32.DLL: CancelDC, SetWorldTransform, GetPixel, RemoveFontResourceW, GetOutlineTextMetricsW, ExcludeClipRect, SetLayout, SetLayout, GetWinMetaFileBits, GdiGetBatchLimit, GetROP2, CombineRgn

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=920FB2030064393C74BD00D2D13AA20089C1F421' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=920FB2030064393C74BD00D2D13AA20089C1F421</a>

So hoffe das hilft euch weiter.

nochdigger · 22.03.2009, 10:42

Hallo

Zitat:

Nein hatte den MP3-Player ganz neu. Er sah auch noch nicht so aus als währe er schon mal ausgepackt worden. Ich hatte ihn bis jetzt nur an diesem PC.

leider ist es nicht nachvollziehbar ob der Player vom System (gut möglich) infiziert wurde oder schon vorher infiziert war.
Formatiere den Player und sichere keine Daten von ihm.

Trenne deinen Rechner vom Netz und setze das System neu auf.
Ändere nach der Neuinstallation oder von einem sauberen System aus unbedingt alle deine Pass- und Kennwörter.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden, sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG

Hoktar · 22.03.2009, 10:52

Gut das ich Urlaub habe, dann habe ich genug Zeit.

Kannst du mir sagen WAS es ist?

Edit:
Kannst du mir den Kaspersky als vollversion empfehlen?

nochdigger · 22.03.2009, 11:11

Hallo

Zitat:

Gut das ich Urlaub habe, dann habe ich genug Zeit.

auch haben will

Zitat:

Kannst du mir sagen WAS es ist?

Virut ist ein Fileinfector und Backdoortrojaner
(nicht ganz deine Version aber in der Funktion etwa gleich)

Zitat:

W32/Virut-A ist ein Virus und eine IRC-Backdoor für die Windows-Plattform.

Wenn eine Datei ausgeführt wird, die mit W32/Virut-A infiziert ist, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. W32/Virut-A verbreitet sich auf diese Weise sehr schnell im Dateisystem.

W32/Virut-A versucht außerdem, sich mit einem IRC-Kanal zu verbinden und so als Backdoor zu fungieren, über die ein remoter Angreifer dem System schaden kann.

Der zweite Freund scheint ein passwortstehlender Schädling zu sein, ich kann aber im Netz nicht wirklich etwas dazu finden.

Zitat:

Kannst du mir den Kaspersky als vollversion empfehlen?

Soll ich

?

MFG

Hoktar · 22.03.2009, 11:22

Zitat:

Zitat:
Kannst du mir den Kaspersky als vollversion empfehlen?

Soll ich?

Sonst würde ich nicht fragen. Er scheint einen guten Eindruck zu machen. Ansonsten empfehle mir einen anderen.

nochdigger · 22.03.2009, 14:51

Hallo

eine ausdrückliche Empfehlung möchte ich eigentlich nicht abgeben

, aber das ausgespähte Programm würde auch bei mir in die engere Wahl kommen.
So sehr ausschlaggebend ist nicht das Programm, sondern vielmehr der Umgang mit dem Internet und seinen Angeboten

.

MFG

Hoktar · 22.03.2009, 16:18

Die Datenrettung erweißt sich schwieriger als erwartet.

Bei jedem Datenträger den ich in den PC stecke, wird eine Autorun.exe und eine autorun.inf verseckt kopiert. Diese enthält den Virus.

Also gehe ich davon aus das der MP3-Player der überbringer des Virus ist.

Wenn jemand interresse and den Dateien hat, biitte melden.

Virus von MP3_player

Log-Analyse und Auswertung: Virus von MP3_player