Hi,

das sieht eigentlich alles gut aus, die Tools werden von Avira erkannt da sie die selben Mechansimen wie Malware verwenden...

Deinstalliere combofix (Start->Ausführen combofix /u) und auch den Rest..

Von Threadfire und Talemu solltest Du nur eines behalten, die stören sich sonst gerne gegenseitig...

chris

Wirklich interessant!!

Er wird eine Neuinstallation seines Betriebssystems sowieso machen müssen.
Ich frag mich grad wieviel Code schon nachgeladen wurde??
Schlauberger!!!

Hi,

Docbrown, schön Dich hier zu haben!

Aber eigentlich ist es (glaube ich) nicht so gut, wenn der Aschenbecher voll ist oder eine Beule im Auto ist, das selbige wegzuwerfen, es sei den es gehört bei Dir zum guten Ton...

Wo fängt bei Dir das wegschmeissen an und wo hört es auf, und wie findest Du die ganzen Sachen, die die Sicherheitslösungen übersehen....
Angebliche Servicestechniker bei Dell haben dann wohl ganz tolle Tools oder noch mehr Zeit sich jeden PC detailliert ansehen zu können....

Oder spielen einfach Troll...

Weidmanns Heil,
chris

Hi,

ich hatte eigentlich nicht vor gehabt Windows neu draufzumachen dazu müsste ich mir erstmal ne externe festplatte besorgen.

Hab jetzt nur noch ThreadFire am laufen. Wie kann ich VBG deinstallieren?? Bei ausführen findet er es nicht bei Software ist es auch nicht und Avira stresst immer rum wegen dem Programm.

mfg Alex

Hi,

lösche es einfach so runter und leere danach den Papierkorb...

Lass mich raten, bis jetzt nichts neues mehr gefunden...?

chris

Nein nichts neues :aplaus: Avira meldet auch nichts mehr!

Wenn das so bleibt dann, DANKE!!

Sorry, daß ich hier so reinplatze. Bekomme den Trojaner nicht weg und muss was superwichtiges am rechner machen :-(

bin schon mit dem cleaner rüber. hier die hijeck this logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:33, on 14.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Portrait Displays\forteManager\DTHtml.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe
C:\WINDOWS\System32\locator.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Adobe\Adobe InDesign CS2\InDesign.exe
C:\Programme\Mozilla Firefox 2.0 Web.de\nfirefox.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\Pelle\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {652da41b-df9a-4ad1-8ee1-86d323f93eaa} - C:\WINDOWS\system32\tukejavi.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: (no name) - {BFD215A9-52D7-40E8-95EB-E99B4910F53D} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DT LGE] C:\Programme\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"
O4 - HKLM\..\Run: [28e20362] rundll32.exe "C:\WINDOWS\system32\tihufivi.dll",b
O4 - HKLM\..\Run: [CPM2bd130fe] Rundll32.exe "c:\windows\system32\divosewo.dll",a
O4 - HKLM\..\Run: [rovubugegu] Rundll32.exe "C:\WINDOWS\system32\zesanido.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"
O4 - HKCU\..\Run: [ptidle] "C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} (Nexon Package Manager Control) - http://file.nx.com/activex/public_new/nxpm.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93A6C06C-88AE-4D27-B9DA-84F89DFDFA2D}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7D2D9-E995-4BD6-B4DA-71ECB3CB00D9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: pushow72.dll c:\windows\system32\divosewo.dll,C:\WINDOWS\system32\pamuyomi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c9a5c46f8f9a68) (gupdate1c9a5c46f8f9a68) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 12969 bytes






kann mir jemand helfen?
system windows xp sp2

danke!

Hi,

ausnahmsweise hier im Thread weiter, obwohl Du eigentlich einen eigenen erstellen müsstet...


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\prnet.tmp
C:\WINDOWS\system32\tihufivi.dll
c:\windows\system32\divosewo.dll
C:\WINDOWS\system32\pushow72.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|28e20362
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|CPM2bd130fe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rovubugegu

Files to delete:
C:\WINDOWS\system32\prnet.tmp
C:\WINDOWS\system32\tihufivi.dll
c:\windows\system32\divosewo.dll
C:\WINDOWS\system32\zesanido.dll
C:\WINDOWS\system32\pushow72.dll
C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL

Folders to delete:
C:\Programme\MyWay\SrchAstt\1.bin
C:\Programme\MyWay\SrchAstt
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
         

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Chris

Stimmt, vielen Danke - hätte ich machen sollen.
Bin noch bei der Arbeit, werde das heute abend direkt machen.

Danke für die Mühe, bis später!

Datei prnet.tmp empfangen 2009.05.15 19:54:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/40 (52.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Trojan-Clicker.Vb!IK
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 PCK/ExeCryptor
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 -
Avast 4.8.1335.0 2009.05.15 -
AVG 8.5.0.336 2009.05.15 Downloader.Generic8.AMBO
BitDefender 7.2 2009.05.15 Trojan.Clicker.VB.VH
CAT-QuickHeal 10.00 2009.05.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 Trojan.Click.25308
eSafe 7.0.17.0 2009.05.14 Win32.PCKExeCryptor
eTrust-Vet 31.6.6507 2009.05.15 Win32/AdClicker.WP
F-Prot 4.4.4.56 2009.05.15 -
F-Secure 8.0.14470.0 2009.05.15 -
Fortinet 3.117.0.0 2009.05.15 W32/Dloader.E!tr
GData 19 2009.05.15 Trojan.Clicker.VB.VH
Ikarus T3.1.1.49.0 2009.05.15 Trojan-Clicker.Vb
K7AntiVirus 7.10.735 2009.05.14 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.05.15 -
McAfee 5616 2009.05.15 Generic Downloader.e
McAfee+Artemis 5616 2009.05.15 Generic Downloader.e
McAfee-GW-Edition 6.7.6 2009.05.15 Packer.ExeCryptor
Microsoft 1.4602 2009.05.15 -
NOD32 4080 2009.05.15 -
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 Trj/CI.A
PCTools 4.4.2.0 2009.05.15 Packed/Execryptor
Prevx 3.0 2009.05.15 High Risk Fraudulent Security Program
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.15 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 Downloader
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 Packed/Execryptor
weitere Informationen
File size: 165376 bytes
MD5...: b52783213f0f56c5d30e071c54a63bf8
SHA1..: 6ed9a5b4b3d4acf446f3543c9deea42a51890d01
SHA256: ed26dc7c0740e8b46f34772647778e33aa3d8085290b2dc6793d2393b01d4acb
SHA512: d954829cefd07cf5ad338957b78f0bcc5a01e7ad15eba94674449187f3d2d6c9
e023f57426bad07c4bd6d710e659f78d934f9cbb5106c0a188e0fdba17b43d1e
ssdeep: 3072:Xr8AA3amqXi23TU6roUvhH+VJCK4RoqNFm5++576AFR7eMh+GJmqyv2lLPE
4I:X4AUamqRjU6rnt+bCKm1mA+576mRfryN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x550d1
timedatestamp.....: 0x4a03224c (Thu May 07 18:02:52 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
i1eyd9iy 0x1000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0xd000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xe000 0x4000 0x4000 3.39 c5ccd71ea48bb09ce02d09918811e778
gxe7quc. 0x12000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
scx1rp7d 0x13000 0x1f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
tuhsy6ho 0x32000 0x24000 0x230f5 7.99 1f0ac80d29c62255069a5fa8534944ce
cl.nss.w 0x56000 0x1000 0x1000 7.95 5ac24357dd2b1c4863dd04f18a1f986d

( 0 imports )

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): Execryptor
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F345B7AD0007D7E386170202CA125600F7D2018A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F345B7AD0007D7E386170202CA125600F7D2018A</a>
packers (F-Prot): EXECryptor


tihuvivi: 0 bytes size received / Se ha recibido un archivo vacio
habe dann nach der tihuvivi.VIR gesucht mit folgendem ergebnis:

Datei tihufivi.VIR empfangen 2009.05.15 20:00:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/39 (43.59%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Trojan.Win32.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 TR/Vundo.Gen
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
Avast 4.8.1335.0 2009.05.15 Win32:Vuku
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6507 2009.05.15 -
F-Prot 4.4.4.56 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.15 Packed.Win32.Krap.q
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
Ikarus T3.1.1.49.0 2009.05.15 Trojan.Win32.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 Packed.Win32.Krap.q
McAfee 5616 2009.05.15 Vundo.gen.ab
McAfee+Artemis 5616 2009.05.15 Vundo.gen.ab
McAfee-GW-Edition 6.7.6 2009.05.15 Trojan.Vundo.Gen
Microsoft 1.4602 2009.05.15 Trojan:Win32/Vundo.gen!AM
NOD32 4080 2009.05.15 a variant of Win32/Kryptik.OS
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.15 -
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.15 Troj/Virtum-Gen
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
weitere Informationen
File size: 80384 bytes
MD5...: e164302cb6df5d7a0b5aebe354411100
SHA1..: b3f636dab75485e6217a1bbb1c8067a6bc0dc365
SHA256: a2f2193b88c4c7557a961ac305cc59dfaeb20325468a2d5a30804dd8be7ded5c
SHA512: feb96aac0cb7d2ac17de491ac039149f39be10830c71a0cdf3b912b37294b3e7
05366fb8e08b064c3193e4ba44f640dce3ddd16e88ab87eba333106691e6365e
ssdeep: 1536:bIWMIPFuqMbRCDLMCCWaIt6fC9gCgWMMjZuFOhnwN0s3qgJ+0B6:b7/9uZR
gLMCaI42gCDMMVuOJheM
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2457f
timedatestamp.....: 0x4823734f (Thu May 08 21:40:31 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x200 7.62 99356c2545cabb27b6e8860455dd50b0
.rdata 0x2000 0x1000 0x200 7.57 491d3a9ed4043371105715e2bdba47c0
.data 0x3000 0x20000 0x10400 8.00 9ad7442512b3bea4540ea4eaa47b4232
.reloc 0x23000 0x1000 0x800 1.25 d616cf08c53f2a2cf170a8f457768384
.text 0x24000 0x3000 0x2600 4.84 c96fcefa316773f30430f0145c6daabe

( 4 imports )
> KERNEL32.dll: CreateFileW, ExitProcess
> WINMM.dll: CloseDriver, mmioWrite
> GDI32.dll: CreateBitmap
> comdlg32.dll: PrintDlgExW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-



so dann die divosewo.VIR (dll nicht vorhanden):

Datei DIVOSEWO.VIR empfangen 2009.05.15 20:04:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/40 (47.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Trojan.Win32.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 TR/Vundo.Gen
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
Avast 4.8.1335.0 2009.05.15 Win32:Vuku
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6507 2009.05.15 -
F-Prot 4.4.4.56 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.15 Packed.Win32.Krap.q
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
Ikarus T3.1.1.49.0 2009.05.15 Trojan.Win32.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 Packed.Win32.Krap.q
McAfee 5616 2009.05.15 Vundo.gen.ab
McAfee+Artemis 5616 2009.05.15 Vundo.gen.ab
McAfee-GW-Edition 6.7.6 2009.05.15 Trojan.Vundo.Gen
Microsoft 1.4602 2009.05.15 Trojan:Win32/Vundo.gen!G
NOD32 4080 2009.05.15 a variant of Win32/Kryptik.OS
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.15 -
Rising 21.29.44.00 2009.05.15 Trojan.Win32.VUNDO.dkg
Sophos 4.41.0 2009.05.15 Troj/Virtum-Gen
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 Trojan.Vundo.Gen!Pac.39
weitere Informationen
File size: 80896 bytes
MD5...: f9f8da09eb04f34c676aec0fe1e5cdca
SHA1..: 7b8ceb540f833cde9cc68b35ba5864832bfc12fe
SHA256: f453893aeef13892b6cb731dbeda38206d4123932a5011f7e8075ce893c66c94
SHA512: 0beedcf1f65d36cd236d796151bf3fd9fcd2b8489dc218b79998eb7882237f51
2261ebb066cfdad72be22e82a2c58b2dbb5007ee9e0f710704146287e5dba42b
ssdeep: 1536:i2emLTQqNcluwjxYWywOTj4eP5wHmCiBGIs62JHSkOGb1:i2eHjx92n4eP5
wHyBDsnSkOGb1
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2301c
timedatestamp.....: 0x4823b693 (Fri May 09 02:27:31 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x400 7.80 c0bae8da920ccc06d50bea469e2ca6b7
.rdata 0x2000 0x1000 0x400 7.82 8ff71cb5da3ea5038b0ac22c015f6f7f
.data 0x3000 0x1f000 0x10600 8.00 de5ad868d06475de09ef9c0bd33585c7
.reloc 0x22000 0x1000 0x400 2.25 3839d4b5b191bae704e267d27b8c5a0d
.text 0x23000 0x3000 0x2600 4.83 cfae2234528abf962d9f794595fc3f6c

( 4 imports )
> KERNEL32.dll: CreateFileW, ExitProcess
> WINMM.dll: CloseDriver, mmioWrite
> GDI32.dll: CreateBitmap
> comdlg32.dll: PrintDlgExW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-




Datei pushow72.dll empfangen 2009.05.15 20:08:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 36/40 (90%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Riskware.AdWare.Win32.AdvertMen.a!IK
AhnLab-V3 5.0.0.2 2009.05.15 Win-Trojan/Clicker.136192
AntiVir 7.9.0.168 2009.05.15 ADSPY/AdvertMen.A.19
Antiy-AVL 2.0.3.1 2009.05.15 AdWare/Win32.AdvertMen
Authentium 5.1.2.4 2009.05.15 W32/Adclicker.RD
Avast 4.8.1335.0 2009.05.15 Win32:Small-UC
AVG 8.5.0.336 2009.05.15 Generic.NPM
BitDefender 7.2 2009.05.15 Trojan.Clicker.GG
CAT-QuickHeal 10.00 2009.05.15 AdWare.AdvertMen.a (Not a Virus)
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 Application.Win32.Adware.AdvertMen
DrWeb 5.0.0.12182 2009.05.15 Adware.Advert
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6507 2009.05.15 Win32/Istbar.CH
F-Prot 4.4.4.56 2009.05.15 W32/Adclicker.RD
F-Secure 8.0.14470.0 2009.05.15 AdWare.Win32.AdvertMen.a
Fortinet 3.117.0.0 2009.05.15 AdClicker.O!tr
GData 19 2009.05.15 Trojan.Clicker.GG
Ikarus T3.1.1.49.0 2009.05.15 not-a-virus:AdWare.Win32.AdvertMen.a
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 5616 2009.05.15 Generic AdClicker.o
McAfee+Artemis 5616 2009.05.15 Generic AdClicker.o
McAfee-GW-Edition 6.7.6 2009.05.15 Ad-Spyware.AdvertMen.A.19
Microsoft 1.4602 2009.05.15 BrowserModifier:Win32/Istbar.F
NOD32 4080 2009.05.15 Win32/Adware.AdvertMen
Norman 6.01.05 2009.05.14 W32/Advertmen.A
nProtect 2009.1.8.0 2009.05.15 Trojan-Clicker/W32.Agent.136192
Panda 10.0.0.14 2009.05.15 Adware/AdvertMem
PCTools 4.4.2.0 2009.05.15 Adware.Advertmen
Prevx 3.0 2009.05.15 Low Risk Adware
Rising 21.29.44.00 2009.05.15 Trojan.Clicker.Agent.xt
Sophos 4.41.0 2009.05.15 Advertismen
Sunbelt 3.2.1858.2 2009.05.15 Advertismen
Symantec 1.4.4.12 2009.05.15 Adware.AdvertMen
TheHacker 6.3.4.1.326 2009.05.15 Adware/AdvertMen.a
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 AdWare.Win32.AdvertMen.a
ViRobot 2009.5.15.1737 2009.05.15 Adware.AdvertMen
VirusBuster 4.6.5.0 2009.05.15 Adware.AdvertMen.A
weitere Informationen
File size: 136192 bytes
MD5...: b3560d5ec47aaebe51c2f60a155dda5b
SHA1..: f40882225a81d726015f842f29eb84317108d4b8
SHA256: e1ab6dfdc90eabd80de8197772a4691d0de2f33bb032ee58447d91e9006bda83
SHA512: 0bcc54bdd40b17756b03ca8c3c3a6c675ab40f17ffcab882dec41613226c17d6
7ce813571e36b48d60e228354a91999c2f8b5b617a6143d2356b72f461882252
ssdeep: 3072:2h9mUFYWUyTNVvMHpWuBBI9K2FkE8oVSsJw:c9m/bypVvaWuMsitSsJw
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x105f8
timedatestamp.....: 0x4450e989 (Thu Apr 27 15:55:53 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x178e6 0x17a00 6.29 856b443fec65c1b16608a87748c5b368
.rdata 0x19000 0x26d7 0x2800 5.34 f12171290525c544b67c0ddd72d6485d
.data 0x1c000 0x544c 0x3e00 2.08 0f70924ff4428d4fdb109bd8d2cdda8d
.InjectD 0x22000 0x101c 0x1200 0.00 b1e27aa018409de6bfd73f8afb883a65
.rsrc 0x24000 0xe0 0x200 3.62 606548d0991fcc0f01994051edfc037a
.reloc 0x25000 0x1a1a 0x1c00 4.87 f353d84d884f00cb31cf8adaa3b1301f

( 10 imports )
> KERNEL32.dll: EnterCriticalSection, GlobalUnlock, GlobalLock, GlobalAlloc, InterlockedDecrement, GetLastError, GetCurrentProcess, lstrlenW, InterlockedIncrement, lstrcmpW, DeleteCriticalSection, FlushInstructionCache, LeaveCriticalSection, InitializeCriticalSection, DisableThreadLibraryCalls, InterlockedExchange, LocalAlloc, FreeLibrary, LCMapStringW, LCMapStringA, SetEndOfFile, LoadLibraryA, GetOEMCP, GetACP, GetCPInfo, IsBadCodePtr, IsBadReadPtr, GetCurrentThreadId, ReadFile, GetStringTypeW, GetStringTypeA, FlushFileBuffers, SetStdHandle, SetUnhandledExceptionFilter, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetVersionExA, GetEnvironmentVariableA, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetModuleHandleA, GetProcAddress, HeapSize, HeapReAlloc, TerminateProcess, ExitProcess, TlsGetValue, TerminateThread, GetModuleFileNameA, lstrlenA, lstrcmpA, GetVolumeInformationA, GetLocaleInfoA, CreateFileA, SetLastError, TlsFree, TlsAlloc, TlsSetValue, HeapAlloc, RaiseException, HeapFree, GetVersion, GetCommandLineA, RtlUnwind, LocalFree, WideCharToMultiByte, WriteFile, MultiByteToWideChar, GetTempPathA, Sleep, DeleteFileA, CreateThread, OpenProcess, SetFilePointer, CloseHandle
> USER32.dll: CharUpperBuffA, UnhookWindowsHookEx, SetWindowsHookExW, SetTimer, RegisterClassExW, LoadCursorW, LoadStringA, FindWindowW, GetWindowThreadProcessId, GetWindowTextLengthW, RegisterWindowMessageW, DefWindowProcW, GetWindowLongW, GetWindow, SetWindowLongW, SetWindowTextW, GetWindowTextW, FindWindowExW, GetClassInfoExW, GetWindowRect, MapWindowPoints, KillTimer, MoveWindow, IsWindowVisible, ShowWindow, CreateWindowExW, CallWindowProcW, DestroyWindow, GetDlgItem, SendMessageW, InvalidateRgn, InvalidateRect, SetCapture, ReleaseCapture, CreateAcceleratorTableW, GetDesktopWindow, GetClassNameW, RedrawWindow, SetWindowPos, IsWindow, GetClientRect, BeginPaint, FillRect, EndPaint, GetDC, ReleaseDC, IsChild, GetFocus, SetFocus, GetSysColor, wsprintfW, MessageBoxA, ExitWindowsEx, GetClassNameA, GetParent, CallNextHookEx
> ADVAPI32.dll: LookupPrivilegeValueW, OpenProcessToken, RegCloseKey, RegCreateKeyExW, RegSetValueExW, AdjustTokenPrivileges
> SHLWAPI.dll: PathFileExistsA
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA, InternetGetConnectedState
> PSAPI.DLL: GetModuleFileNameExA
> OLEPRO32.DLL: -
> ole32.dll: CoUninitialize, CoInitialize, OleUninitialize, CreateStreamOnHGlobal, OleInitialize, CLSIDFromProgID, CLSIDFromString, CoCreateInstance, CoTaskMemFree, StringFromCLSID, CoTaskMemAlloc, OleLockRunning
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> GDI32.dll: GetStockObject, GetObjectW, CreateSolidBrush, DeleteObject, GetDeviceCaps, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, BitBlt, DeleteDC

( 1 exports )
UninstallW
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b</a>
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4DBBEA4600000B04147A02F7147D4D002559DD1E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4DBBEA4600000B04147A02F7147D4D002559DD1E</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b</a>








Und nun? soll ich jetzt wie du meinst weitermachen, obwohl diese dll dateien nur teilweise mit dem von dir angegebenen dateinamen vorhanden waren?

Hi,

ja unbedingt abfahren, hoffe das sich inzwischen nichts neues eingeschlichen hat...

MAM danach nicht vergessen...

chris

so. beim zweiten durchgang scheints geklappt zu haben:


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\prnet.tmp" not found!
Deletion of file "C:\WINDOWS\system32\prnet.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\tihufivi.vir" deleted successfully.
File "c:\windows\system32\divosewo.vir" deleted successfully.

Error: file "C:\WINDOWS\system32\zesanido.dll" not found!
Deletion of file "C:\WINDOWS\system32\zesanido.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist



die dateien die er nicht fand, habe ich im ersten durchgang "behandelt".

so jetzt kommt MAM

Hi,

okay, mal sehen wie lange der Akku am notebook hier noch mitmacht...

chris

MAM hat noch einiges gefunden. Programm ist noch offen.

was muss ich damit tun?


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2137
Windows 5.1.2600 Service Pack 2

15.05.2009 22:23:34
mbam-log-2009-05-15 (22-23-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 292578
Laufzeit: 1 hour(s), 9 minute(s), 28 second(s)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 28
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 9
Infizierte Dateien: 19

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\digifast.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Microsoft\Windows\dviuo.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain\Twain.exe (Trojan.Matcash) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{652da41b-df9a-4ad1-8ee1-86d323f93eaa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{652da41b-df9a-4ad1-8ee1-86d323f93eaa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\bho_cpv.workhorse (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_cpv.workhorse.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{26a98aa8-07fe-46e6-b6df-26704f3b895f} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\digifast (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_CPV.DLL (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ptidle (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\digifast (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipuspdc (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\twain (Trojan.Matcash) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prnet (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prnet (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle (Trojan.Downloader) -> No action taken.
C:\Programme\MyWay (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\History (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings (Adware.MyWay) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast (Trojan.Agent) -> No action taken.
C:\Programme\WWShow (Trojan.Agent) -> No action taken.
C:\Programme\Jcore (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain (Trojan.Matcash) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\digifast.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Microsoft\Windows\dviuo.exe (Trojan.Dropper) -> No action taken.
C:\Programme\Jcore\Jcore2.dll (Trojan.BHO) -> No action taken.
C:\Programme\Mozilla Firefox\components\dfff.dll (Trojan.Agent.V) -> No action taken.
C:\Programme\Mozilla Firefox\components\WWShow.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\pushow37.dll (Adware.AdvertMen) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\DFUninstall.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\ovfsthxbqpfvknmb.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\rasesnet.tmp (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\891H3MHC\152[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LJZL7NFP\155[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LJZL7NFP\163[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MHOMKRDE\dfuninstaller.prod.v14000.18mar2009.exe[1].10b9665cc5f98c037e9b8dcc0e88929e (Trojan.Dropper) -> No action taken.
C:\Programme\MyWay\myBar\History\search (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings\prevcfg.htm (Adware.MyWay) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\config.cfg (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain\Twain.exe (Trojan.Matcash) -> No action taken.

Hi,

scannen und alles bereinigen lassen...
Dann noch mal ein HJ-Log, Akku ist leer...

chris