Hier nochmal alle Schritte, damit du den Überblick nicht verlierst:

1. .dll Datei von der DVD als Zip-Datei zu Avira hochladen! Unbedingt bei Typ Verdacht auf Fehlalarm angeben
2. Die unbekannte Datei aus dem Hijackthislog zu VirusTotal hochladen! Falls bereits analysiert unbedingt auf Erneut analysieren gehen!
3. Navilog ausführen und Log hier posten AntiVir solange deaktivieren!
4. Bereinigung mit CCleaner
5. Scan mit Malwarebytes Anti-Malware AntiVir solange deaktivieren!
6. Poste danach bitte noch ein neues Log von Hijackthis!

Hier findest du noch eine Anleitung für Navilog:

Navilog

Zitat:

1. .dll Datei von der DVD als Zip-Datei zu Avira hochladen! Unbedingt bei Typ Verdacht auf Fehlalarm angeben

Habe ich hochgeladen

Zitat:

2. Die unbekannte Datei aus dem Hijackthislog zu VirusTotal hochladen! Falls bereits analysiert unbedingt auf Erneut analysieren gehen!

Hbe die beiden Dateien, die HijackThis beanstanded hat (qmkia.exe und rlservice.exe) beide nicht gefunden (weder in den angegebenen Ordnern noch über die Windowssuche)

Zitat:

3. Navilog ausführen und Log hier posten AntiVir solange deaktivieren!

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.7.7 began on 12.05.2009 at 21:55:23,24

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )
BIOS : ZD1 v1.3811 3H11
USER : acey90 ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)
Firewall  : COMODO Firewall Pro 3.0 (Activated)

C:\ (Local Disk) - NTFS - Total:69 Go (Free:14 Go)
D:\ (Local Disk) - NTFS - Total:66 Go (Free:65 Go)
F:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)


Search done in normal mode


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\acey90\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\acey90\AppData\Local\virtualstore\Program Files" ***



*** Search folders in "C:\Users\acey90\AppData\Local" ***




*** Search folders in "C:\Users\acey90\AppData\Roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\acey90\AppData\Local\Microsoft" *

* Scan in "C:\Users\acey90\AppData\Local" *



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\acey90\AppData\Local\Microsoft" :


* In "C:\Users\acey90\AppData\Local" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !
         

Ist das normal das das sehr lange dauert (30 min.)? Irgendwie fehLT doch auch ab 4. was, oder? Entgegen dem was Log-File sagt habe ich auch AntiVir deaktiviert gehabt (den AntiVir Guard).

Zitat:

4. Bereinigung mit CCleaner

Habe ich gemacht

Zitat:

5. Scan mit Malwarebytes Anti-Malware AntiVir solange deaktivieren!

Hier ist der Bericht:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2117
Windows 6.0.6001 Service Pack 1

12.05.2009 23:13:24
mbam-log-2009-05-12 (23-13-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 188906
Laufzeit: 1 hour(s), 15 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\DVD-Cover-Designer-2005\coverdesigner.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.
         

Zitat:

6. Poste danach bitte noch ein neues Log von Hijackthis!

Das wäre dann das hier:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:43, on 11.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Users\acey90\temp\TeamViewer\Version4\TeamViewer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  C:\Windows\system32\guard32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8193 bytes
         

Ich weiß gar nicht, wie ich dir danken kann, dass du mir so hilfst.


Bis morgen

Rubaen

Zitat:

C:\Program Files\DVD-Cover-Designer-2005\coverdesigner.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Sieht ziemlich schlecht aus.

Der Backdoor Bifrose ist ein Anzeichen dafür, das auf deinem PC ein RAT installiert ist/war.
Anscheind hat jemand Vollzugriff auf deinen Rechner.

Ich würde sicher gehen und http://www.trojaner-board.de/51262-a...sicherung.html machen.
Hast du diese Datei Angeboten bekommen von jemanden?

Kannst Du diese Datei

Zitat:

coverdesigner.exe

wo er den Backdoor Bifrose fand nochmal aus der Quarantäne wiederherstellen und es bei Virustotal.com auswerten lassen?

Zitat:

Zitat von Angel21

Sieht ziemlich schlecht aus.

Der Backdoor Bifrose ist ein Anzeichen dafür, das auf deinem PC ein RAT installiert ist/war.
Anscheind hat jemand Vollzugriff auf deinen Rechner.

Ich würde sicher gehen und http://www.trojaner-board.de/51262-a...sicherung.html machen.
Hast du diese Datei Angeboten bekommen von jemanden?

Das ist das Notebook meiner Mutter. ich glaube nicht, dass sie die Datei angeboten bekommen hat. Höchstens irgendwo den Cover designer runtergeladen.Ich frage sie mal und melde mich dann!

Bei der Sicherung des Systemes, sichere ich da nichtden Backdoor mit???

Das macht mir aufjedenfall Angst. Ich werde das Notebook wohl erstmal offline lassen...

Zitat:

Kannst Du diese Datei
Zitat:
coverdesigner.exe
wo er den Backdoor Bifrose fand nochmal aus der Quarantäne wiederherstellen und es bei Virustotal.com auswerten lassen?

Ja kann ich machen, sobald ich wieder am Notebook bin. Feedback gibts gegen Nachmittag!

Übrigens habe ich gerade die Antwort von Antivir bekommen, dass Der TR/Crypt eine Fehlmeldung ist!
Aber wie es aussieht habe ich sowieso ein größeres Problem...

Danke!!!

Hast du die Datei schonmal aus der Quarantäne wiederhergestellt und bei VirusTotal hochgeladen??? Kopiere bitte das Ergebnis! Wahrscheinlich läuft bei dir noch ein Rootkit, weil du die Dateien nicht finden konntest, aber die erste Datei sollte eingentlich schon von Navilog enfernt worden sein!

Aber wenigstens eine gute Nachricht, dass es nur eine Fehlermeldung war! ^^

Zitat:

Zitat von maximilian11

Hast du die Datei schonmal aus der Quarantäne wiederhergestellt und bei VirusTotal hochgeladen??? Kopiere bitte das Ergebnis! Wahrscheinlich läuft bei dir noch ein Rootkit, weil du die Dateien nicht finden konntest, aber die erste Datei sollte eingentlich schon von Navilog enfernt worden sein!

Aber wenigstens eine gute Nachricht, dass es nur eine Fehlermeldung war! ^^

Ich bin derzeit mal wieder nicht an dem Notebook. Werde es wieder heute Abend machen müssen.
Melde mich sobald ich das Ergebnis habe.

Danke

Kann die Datei erst morgen hochladen.
Melde mich dann aber sofort.

Wenn ich das System denn neu installiere. Gibt es einen zuverlässigen, idiotensicheren schutz gegen sowas? Das ist ja das NB meiner Mutter und die hat die Comodo-Firewall drauf. Allerdings nervt die die ganze zeit, so dass meine Mutter dann wohl immer auf erlauben geklickt hat ohne zu schauen, was da ankommt....
Für Tipps bin ich sehr dankbar!!!

Danke an euch beide!

Einen idiotensicheren Schutz gibt es nicht, aber man sollte, wie du schon geschrieben, nicht einfach alles ohne zu lesen anklicken! Außerdem nutzt eine zusätzliche Firewall nichts!

Bei einem kompletten Neuaufsetzen des Systems sicherst du keine Schädlichen Datein mit, wenn du folgende Grundregel beachtest und zwar: Nur MP3/MP4, Bilder und Dokumentdatein sichern,
Solange du keine ausführbare Programme (die evtl. befallen sein können von weiteren/anderen Schädlingen) mitsicherst wirst du nach dem Neu Aufsetzen keine Probleme bekommen werden.

Lasse aber zur Sicherheit noch einmal bevor diese Daten, die du sicherst auf dem neu aufgesetzten PC gelangen mit Avira oder einem anderen Antivirscanner überprüfen.

Zitat:

Zitat von maximilian11

Einen idiotensicheren Schutz gibt es nicht, aber man sollte, wie du schon geschrieben, nicht einfach alles ohne zu lesen anklicken! Außerdem nutzt eine zusätzliche Firewall nichts!

Das heißt die Windows Firewall ist ausreichend, bzw. es gibt nichts besseres?
Sollte man denn einen weiteren Schutz installieren, sowas wie Ad-Aware oder gibt es da was besseres?

So hier die Auswertung von Antivirus.com:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  Version  letzte aktualisierung  Ergebnis
a-squared  4.0.0.101  2009.05.13  -
AhnLab-V3  5.0.0.2  2009.05.13  -
AntiVir  7.9.0.166  2009.05.13  -
Antiy-AVL  2.0.3.1  2009.05.13  -
Authentium  5.1.2.4  2009.05.13  -
Avast  4.8.1335.0  2009.05.13  -
AVG  8.5.0.327  2009.05.13  -
BitDefender  7.2  2009.05.13  -
CAT-QuickHeal  10.00  2009.05.13  -
ClamAV  0.94.1  2009.05.13  -
Comodo  1157  2009.05.08  -
DrWeb  5.0.0.12182  2009.05.13  -
eSafe  7.0.17.0  2009.05.12  -
eTrust-Vet  31.6.6504  2009.05.13  -
F-Prot  4.4.4.56  2009.05.13  -
F-Secure  8.0.14470.0  2009.05.13  -
Fortinet  3.117.0.0  2009.05.13  -
GData  19  2009.05.13  -
Ikarus  T3.1.1.49.0  2009.05.13  -
K7AntiVirus  7.10.734  2009.05.13  -
Kaspersky  7.0.0.125  2009.05.13  -
McAfee  5614  2009.05.13  -
McAfee+Artemis  5614  2009.05.13  -
McAfee-GW-Edition  6.7.6  2009.05.13  -
Microsoft  1.4602  2009.05.13  -
NOD32  4072  2009.05.13  -
Norman  6.01.05  2009.05.13  -
nProtect  2009.1.8.0  2009.05.13  -
Panda  10.0.0.14  2009.05.13  -
PCTools  4.4.2.0  2009.05.13  -
Prevx  3.0  2009.05.13  -
Rising  21.29.24.00  2009.05.13  -
Sophos  4.41.0  2009.05.13  -
Sunbelt  3.2.1858.2  2009.05.13  -
Symantec  1.4.4.12  2009.05.13  -
TheHacker  6.3.4.1.325  2009.05.13  -
TrendMicro  8.950.0.1092  2009.05.13  -
VBA32  3.12.10.5  2009.05.13  -
ViRobot  2009.5.13.1733  2009.05.13  -
weitere Informationen
File size: 221184 bytes
MD5...: 2535d142d8ed54d5b3cd9b7b7cd7a2ca
SHA1..: 356ae3db57b5c0f2188cc5d7fed1abed4a5b8b18
SHA256: 5f26136b99dd7ddfd2deac33a7fa69a4ee283c10d7c5d59f933a85db1b2220fc
SHA512: a7aaf32f7a79361df0d96801fd7f906ba8b4d4d426da4d89bca9640c089c3424
161dad2c573bf5e204cfa00afc8b2c71eac11544cb596bff45b122ad9d0b6241
ssdeep: 6144:FmVmmd45f51lAg/V0RmVmmd45f51lAcmVmmd45f51lAcmVmmd45f51lAtmV
mmd4Q:FmVmmd45f51lA6V0RmVmmd45f51lAcme
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x214c
timedatestamp.....: 0x424c6bb8 (Thu Mar 31 21:29:28 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32fd8 0x33000 6.12 5b6565e5fbf53042bdbbfcd9ee9d7106
.data 0x34000 0x5174 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x3a000 0xfa0 0x1000 4.28 72563274ddb732df1578791ea8a231a5

( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaLateIdCall, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaCopyBytes, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaLateMemSt, -, __vbaVarForInit, __vbaExitProc, -, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaBoolVar, -, __vbaBoolVarNull, __vbaFpR8, _CIsin, -, __vbaLateMemStAd, __vbaChkstk, -, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, -, __vbaPrintObj, __vbaI2I4, DllFunctionCall, __vbaVarOr, __vbaVarLateMemSt, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaStrR8, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, __vbaStrToUnicode, -, -, -, _adj_fprem, _adj_fdivr_m64, -, __vbaVarDiv, __vbaI2Str, -, __vbaFPException, __vbaStrVarVal, __vbaCheckType, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaR8Str, __vbaVarLateMemCallLdRf, -, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaVarCmpLt, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, __vbaVarCmpEq, __vbaVarAdd, __vbaLateMemCall, __vbaStrToAnsi, __vbaVarDup, __vbaFpI4, __vbaVarLateMemCallLd, -, __vbaLateMemCallLd, _CIatan, __vbaCastObj, __vbaStrMove, -, _allmul, __vbaLateIdSt, _CItan, __vbaVarForNext, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=2535d142d8ed54d5b3cd9b7b7cd7a2ca
         

Hilft euch das weiter? Bekommt man den BAckdoor weg oder soll ich das System neu aufsetzen???

Neuaufsetzen ist natürlich immer die sicherste Variante!!!

Zitat:

Zitat von maximilian11

Neuaufsetzen ist natürlich immer die sicherste Variante!!!

Das habe ich mir fast gedacht

Aber besteht denn eine Möglichkeit das NB ohne neu aufsetzen wieder sauber zu bekommen?
Wenn ja würde ich die gerne ausprobieren.
Was sagt dir denn die Antivirus Auswertung?