Scheinbar schwerwiegender Virus/Wurm

dominat0r · 26.05.2009, 17:38

Hallo,

seit einigen Tagen beschleicht mich bereits das Gefühl, dass ich mir ordentlich was eingefangen habe. Einzig Positives dabei: Mein System rennt jetzt schon seit fast 2 Jahren ohne Neuaufsetzen, daher ist es ohnehin fast überfällig.

Jedenfalls sieht die Problematik so aus: Diverse Internetseiten öffnen sich deutlich langsamer oder gar überhaupt nicht (Bsp. Youtube), das System ist insgesamt wesentlich langsamer geworden, teilweise öffnen sich Internetseiten, auf die ich gar nicht will und das wohl wichtige Indiz für einen Virus: Mein AVG Free Edition updated seit einigen Tagen nicht mehr (Angeblich keine Verbindung zum Server). Zudem habe ich soeben herausgefunden, dass ich keine MSI-Installer mehr ausführen kann, aber dazu an geeigneter Stelle mehr.

Meine Entscheidung fiel also recht schnell: Platt machen, neu aufsetzen! Bei 400GB Daten leider kein leichtes Unterfangen, da ich knapp 100 davon (Musik, Videos, etc.) eigentlich auf jeden Fall behalten möchte. Doof nur, dass ich lediglich eine 60GB-Backup-Festplatte besitze, aber das soll nicht euer Problem sein.
Ich schloss also die Backup-Festplatte an und wollte sie mit dem Data Lifeguard Diagnostic Tool von Western Digital formatieren. Also, Programm gezogen, installiert: Denkste! Installer meldet Fehler (Microsoft Installer nicht korrekt installiert usw.). Der Fehler im System scheint also bereits wesentlich tiefer zu sitzen, als ich dachte. Zumindest mit Partition Magic funktioniert die einfache High-Level-Formatierung.

Meine Frage lautet nun schlicht und einfach: Wie gehe ich am Besten vor? Versuchen, zunächst sämtliche Viren/Würmer ausfindig zu machen und zu beseitigen, was mit einem defekten Antivirus-Programm und einer großen Datenmenge recht schwierig werden dürfte, oder auf Risiko setzen und mein Backup ohne Low-Level-Rundum-Formatierung durchführen, mit der Gefahr, dass der Virus erhalten bleibt und auch im neuen System existiert?

Sämtliche Tipps, Tricks und Anweisungen sind sehr willkommen. Natürlich reiche ich auch etwaige HJT-Protokolle etc. nach, wenn benötigt.

Danke im Voraus,

Domi

EDIT: Entschuldigt die Verzögerung.
Also, CCleaner ausgeführt, alles wunderbar. Bei Anti-Malware dann das Problem: Auch das lässt sich nicht updaten, obwohl keine Firewall blockiert. Langsam wirds unheimlich..

Ich habe inzwischen herausgefunden, dass mein Problem dem hier - Klick - recht ähnlich ist, leider. Ich komme auch nicht mehr in die Registry. Ich habe schon etwas Angst, da ich noch in den letzten Tagen ebay benutzt und online eine Reise gebucht habe..

dominat0r · 26.05.2009, 18:16

Hier nun mein HiJackThis-Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:38, on 26.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
D:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\OCZ Technology\Mouse\Amoumain.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Java\jre6\bin\jucheck.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\explorer.exe
D:\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - D:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - D:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Thunderbird] "C:\Programme\Mozilla Thunderbird\thunderbird.exe"
O4 - HKLM\..\Run: [WheelMouse] D:\Programme\OCZ Technology\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Link to &MidpX - D:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EDCDE7-2DAE-4A3C-9C72-0DF2C35F229C}: NameServer = 192.168.2.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - D:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 8996 bytes

Ich hoffe, ihr könnt mir helfen. Vielen Dank!

Chris4You · 27.05.2009, 15:24

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\System32\appdrvrem01.exe
c:\WINDOWS\System32\syssetup.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

MAM läuft aber meldet nichts, oder?

Dann :
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

dominat0r · 27.05.2009, 18:57

Danke schonmal für deine Hilfe!

Hier das Ergebnis für appdrvrem01.exe:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.05.27	-
AhnLab-V3	5.0.0.2	2009.05.27	-
AntiVir	7.9.0.168	2009.05.27	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.27	-
Avast	4.8.1335.0	2009.05.26	-
AVG	8.5.0.339	2009.05.27	-
BitDefender	7.2	2009.05.27	-
CAT-QuickHeal	10.00	2009.05.27	-
ClamAV	0.94.1	2009.05.27	-
Comodo	1207	2009.05.27	-
DrWeb	5.0.0.12182	2009.05.27	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6524	2009.05.27	-
F-Prot	4.4.4.56	2009.05.27	-
F-Secure	8.0.14470.0	2009.05.27	-
Fortinet	3.117.0.0	2009.05.27	-
GData	19	2009.05.27	-
Ikarus	T3.1.1.57.0	2009.05.27	-
K7AntiVirus	7.10.746	2009.05.27	-
Kaspersky	7.0.0.125	2009.05.27	-
McAfee	5628	2009.05.27	-
McAfee+Artemis	5628	2009.05.27	-
McAfee-GW-Edition	6.7.6	2009.05.27	-
Microsoft	1.4701	2009.05.27	-
NOD32	4109	2009.05.27	-
Norman	6.01.05	2009.05.27	-
nProtect	2009.1.8.0	2009.05.27	-
Panda	10.0.0.14	2009.05.27	-
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.27	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.27	-
Sunbelt	3.2.1858.2	2009.05.27	-
Symantec	1.4.4.12	2009.05.27	-
TheHacker	6.3.4.3.332	2009.05.26	-
TrendMicro	8.950.0.1092	2009.05.27	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.27.1757	2009.05.27	-
weitere Informationen
File size: 304528 bytes
MD5...: 3f56e9e6f01d014a70718f3986566481
SHA1..: 09f6b561551b92ff498dec8633ee6ccc0daffa07
SHA256: b9c39e3b3b2ac52dd890c89a3ab06e2a812ea4d7b291145f776bb8a35d4cb0a5
ssdeep: 6144:JrE1282PtIvOZEBxMAluxEqozvN7JEN8kmBxY1VJheO+BH/tniZ+bvT/jGb
nPtF0:JI0Jd+BlqL+qxu
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14842
timedatestamp.....: 0x48689439 (Mon Jun 30 08:07:21 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b903 0x2c000 6.56 5eb91fbfae17dd2f7681a11dd859c50e
.rdata 0x2d000 0x1634c 0x17000 4.76 ea3abc23bd474e07e5bcc8be7cfd082a
.data 0x44000 0x5d94 0x4000 4.69 2ec59dce875d2fcb69a76efe0b6d29bc
.rsrc 0x4a000 0x4c8 0x1000 1.29 d80ef2b75cfd1159071bc82f77ddb834

( 4 imports )
> VERSION.dll: GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoSizeW
> KERNEL32.dll: GetCurrentProcess, LoadLibraryW, LocalFree, SetLastError, GetFullPathNameW, QueryDosDeviceW, GetVersionExA, GetVersionExW, LoadLibraryA, CreateFileA, CreateFileW, GetModuleFileNameA, CreateFileMappingA, CreateFileMappingW, CreateMutexA, CreateMutexW, GetSystemDirectoryA, GetSystemDirectoryW, GetWindowsDirectoryA, GetWindowsDirectoryW, GetDriveTypeW, FindFirstFileA, FindFirstFileW, GetEnvironmentVariableW, GetModuleHandleW, WriteConsoleA, CreateProcessA, CreateProcessW, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, DeleteFileA, DeleteFileW, LocalAlloc, FormatMessageA, FormatMessageW, GetCPInfo, WideCharToMultiByte, FindClose, GetFileSize, ReadFile, WriteFile, SetFileTime, MapViewOfFile, UnmapViewOfFile, DeviceIoControl, Sleep, AreFileApisANSI, GetOEMCP, GetACP, SleepEx, WaitForMultipleObjectsEx, ReleaseMutex, GetExitCodeProcess, WaitForSingleObject, SetEndOfFile, SetStdHandle, SetFilePointer, GetConsoleOutputCP, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, LCMapStringA, GetSystemTime, SystemTimeToFileTime, FreeLibrary, CloseHandle, LCMapStringW, MultiByteToWideChar, GetModuleHandleA, GetProcAddress, InterlockedDecrement, InterlockedIncrement, GetTickCount, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetEnvironmentVariableA, GetStdHandle, WriteConsoleW, VirtualFree, VirtualAlloc, GetLastError, GetCommandLineW, GetFileAttributesA, HeapSize, FlushFileBuffers, GetConsoleMode, HeapAlloc, HeapFree, RtlUnwind, HeapReAlloc, RaiseException, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapDestroy, HeapCreate, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP
> USER32.dll: MessageBoxA, MessageBoxW
> ADVAPI32.dll: RegCloseKey, QueryServiceStatus, ControlService, DeleteService, CloseServiceHandle, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegQueryValueExW, RegQueryValueExA, RegDeleteValueW, RegSetValueExW, RegSetValueExA, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegOpenKeyExA, RegCreateKeyExW, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, StartServiceW, ChangeServiceConfigW, QueryServiceConfigW, CreateServiceW, OpenServiceW, OpenSCManagerW, SetServiceStatus

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481</a>

dominat0r · 27.05.2009, 19:01

Ergebnis der Datei syssetup.dll:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.05.27	-
AhnLab-V3	5.0.0.2	2009.05.27	-
AntiVir	7.9.0.168	2009.05.27	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.27	-
Avast	4.8.1335.0	2009.05.26	-
AVG	8.5.0.339	2009.05.27	-
BitDefender	7.2	2009.05.27	-
CAT-QuickHeal	10.00	2009.05.27	-
ClamAV	0.94.1	2009.05.27	-
Comodo	1207	2009.05.27	-
DrWeb	5.0.0.12182	2009.05.27	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6524	2009.05.27	-
F-Prot	4.4.4.56	2009.05.27	-
F-Secure	8.0.14470.0	2009.05.27	-
Fortinet	3.117.0.0	2009.05.27	-
GData	19	2009.05.27	-
Ikarus	T3.1.1.57.0	2009.05.27	-
K7AntiVirus	7.10.746	2009.05.27	-
Kaspersky	7.0.0.125	2009.05.27	-
McAfee	5628	2009.05.27	-
McAfee+Artemis	5628	2009.05.27	-
McAfee-GW-Edition	6.7.6	2009.05.27	-
Microsoft	1.4701	2009.05.27	-
NOD32	4109	2009.05.27	-
Norman	6.01.05	2009.05.27	-
nProtect	2009.1.8.0	2009.05.27	-
Panda	10.0.0.14	2009.05.27	-
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.27	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.27	-
Sunbelt	3.2.1858.2	2009.05.27	-
Symantec	1.4.4.12	2009.05.27	-
TheHacker	6.3.4.3.332	2009.05.26	-
TrendMicro	8.950.0.1092	2009.05.27	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.27.1757	2009.05.27	-
VirusBuster	4.6.5.0	2009.05.27	-
weitere Informationen
File size: 1005056 bytes
MD5...: 02e4d4c09a7ee5fe3c060a1a676707e2
SHA1..: 9ada47ec61e4614e80b75a40d475ceea3a6ebbcc
SHA256: 24832370a709a3f4e6fa20ce03af1dba82a88dd2d12a91789811caf5f2e3204b
ssdeep: 12288:R4GECHS+9cJPLnBnfeXZyw8IEyZsoSRIm2XFGyNqv0C9SSSUlfjNjOV:eG
ECHS+9cJPLnFfeJHjZsoSRIcSsh4
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x65c48
timedatestamp.....: 0x4802bfbf (Mon Apr 14 02:21:51 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7e68f 0x7e800 6.29 4615316cedce6e761432a1f97753f98f
.data 0x80000 0xa57c 0x2c00 3.96 9322b327dd646665e4da8fa51702493f
.rsrc 0x8b000 0x6c37c 0x6c400 5.60 0e27283b7b49df73abe46ec828405506
.reloc 0xf8000 0x799e 0x7a00 6.25 6237d8e9e3c1d0abb3ff5dc7004dff61

( 16 imports )
> SETUPAPI.dll: pSetupAppendStringToMultiSz, pSetupSetNoDriverPrompts, SetupDiBuildClassInfoList, SetupDiGetClassDescriptionW, pSetupDiGetDeviceInfoContext, SetupGetFileQueueFlags, pSetupVerifyQueuedCatalogs, pSetupInfIsFromOemLocation, pSetupDiSetDeviceInfoContext, CMP_WaitNoPendingInstallEvents, SetupDiGetClassDevsExW, pSetupInfCacheBuild, SetupGetLineTextW, pSetupFree, CM_Open_Class_KeyW, SetupDiGetINFClassW, pSetupIsGuidNull, SetupDiClassGuidsFromNameW, pSetupQueryMultiSzValueToArray, pSetupSetArrayToMultiSzValue, SetupAddToSourceListW, SetupRemoveFromSourceListW, pSetupOutOfMemory, pSetupUnicodeToMultiByte, SetupInitDefaultQueueCallbackEx, SetupTermDefaultQueueCallback, SetupDefaultQueueCallbackW, pSetupStringFromGuid, pSetupRegistryDelnode, SetupInstallServicesFromInfSectionExW, pSetupInstallStopEx, SetupIterateCabinetW, pSetupGetRealSystemTime, pSetupOpenAndMapFileForRead, pSetupUnmapAndCloseFile, SetupScanFileQueueW, SetupPromptForDiskW, pSetupSetSystemSourcePath, SetupOpenAppendInfFileW, pSetupGetGlobalFlags, pSetupSetGlobalFlags, SetupQueueCopyW, SetupOpenFileQueue, SetupInstallFilesFromInfSectionW, SetupCommitFileQueueW, SetupCloseFileQueue, SetupGetInfInformationW, SetupGetSourceFileLocationW, SetupGetSourceInfoW, SetupDecompressOrCopyFileW, SetupQueryInfFileInformationW, pSetupGetFileTitle, pSetupVerifyFile, pSetupFreeStringArray, pSetupVerifyCatalogFile, pSetupGetCurrentDriverSigningPolicy, pSetupHandleFailedVerification, CM_Get_DevNode_Status, SetupDiCreateDeviceInfoW, SetupDiRegisterDeviceInfo, SetupDiDeleteDeviceInfo, CM_Get_Device_ID_ListW, CM_Get_Device_ID_List_SizeW, pSetupAcquireSCMLock, SetupGetLineCountW, SetupDiEnumDeviceInfo, SetupDiCreateDeviceInfoList, SetupDiGetDeviceInstanceIdW, SetupDiOpenDeviceInfoW, pSetupGetField, pSetupRetrieveServiceConfig, pSetupAddTagToGroupOrderListEntry, SetupGetFieldCount, SetupDiInstallDevice, SetupDiSetDeviceRegistryPropertyW, SetupInstallFromInfSectionW, SetupDiSelectBestCompatDrv, SetupFindNextMatchLineW, SetupOpenLog, SetupLogErrorW, SetupCloseLog, SetupDiSetSelectedDriverW, SetupDiEnumDriverInfoW, SetupDiGetDriverInstallParamsW, SetupDiSetDriverInstallParamsW, SetupDiCreateDevRegKeyW, SetupDiGetActualSectionToInstallW, SetupGetMultiSzFieldW, pSetupCenterWindowRelativeToParent, SetupGetIntField, SetupGetLineByIndexW, SetupDiGetClassDevsW, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailW, CM_Get_Parent, SetupDiDestroyDeviceInfoList, pSetupEnablePrivilege, pSetupStringTableInitialize, SetupDiCallClassInstaller, SetupDiDestroyDriverInfoList, SetupDiGetSelectedDriverW, pSetupGuidFromString, SetupDiOpenDevRegKey, SetupCopyOEMInfW, SetupDiBuildDriverInfoList, SetupDiOpenClassRegKey, SetupDiInstallClassW, SetupDiGetDriverInfoDetailW, pSetupStringTableAddString, pSetupStringTableInitializeEx, SetupCloseInfFile, pSetupStringTableLookUpString, pSetupStringTableGetExtraData, pSetupDuplicateString, pSetupStringTableAddStringEx, pSetupStringTableDestroy, SetupOpenInfFileW, pSetupRealloc, SetupDiGetClassInstallParamsW, SetupDiSetClassInstallParamsW, SetupDiGetDeviceInstallParamsW, SetupDiSetDeviceInstallParamsW, SetupDiGetDeviceInfoListDetailW, SetupDiLoadClassIcon, SetupDiGetDeviceRegistryPropertyW, SetupFindFirstLineW, SetupGetStringFieldW, pSetupConcatenatePaths, SetupFindNextLine, pSetupMalloc, pSetupInstallCatalog
> ntdll.dll: NtOpenFile, NtSetSystemInformation, _strcmpi, RtlCopyUnicodeString, RtlEqualUnicodeString, RtlSubAuthorityCountSid, RtlLengthRequiredSid, RtlCopySid, RtlSubAuthoritySid, NtPowerInformation, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlCreateBootStatusDataFile, RtlUnlockBootStatusData, NtDeviceIoControlFile, DbgPrintEx, NtQuerySystemInformation, NtCreateFile, NtOpenKey, NtQueryValueKey, RtlIntegerToUnicodeString, RtlEqualSid, RtlNtStatusToDosError, VerSetConditionMask, NtQuerySystemEnvironmentValue, RtlInitializeSid, NtQuerySymbolicLinkObject, NtClose, RtlUnwind, NtOpenEvent, NtCreateEvent, RtlImageNtHeader, DbgBreakPoint, NtSetSystemEnvironmentValue, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlAppendUnicodeStringToString, RtlInitUnicodeString, NtOpenSymbolicLinkObject
> GDI32.dll: SetTextColor, GetDeviceCaps, AddFontResourceW, GetStockObject, CreateFontIndirectW, SelectObject, StretchDIBits, CreateCompatibleDC, GetObjectW, SetBkColor, GetTextExtentPointW, BitBlt, DeleteDC, DeleteObject, SetStretchBltMode, SetBkMode, CreateDIBSection
> KERNEL32.dll: GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, VirtualProtect, VirtualQuery, InterlockedExchange, VirtualAlloc, EnterCriticalSection, LeaveCriticalSection, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStrings, FreeEnvironmentStringsA, GetModuleFileNameA, DeleteCriticalSection, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TlsAlloc, TlsGetValue, TlsFree, GetModuleHandleA, HeapReAlloc, GetVersionExA, GetCommandLineA, TlsSetValue, lstrcpynA, LocalReAlloc, UnhandledExceptionFilter, GetCurrentProcessId, QueryPerformanceCounter, FindResourceW, LoadResource, LockResource, GetLogicalDriveStringsW, GlobalMemoryStatusEx, MoveFileW, lstrcpyA, lstrcmpiA, SetThreadLocale, TerminateThread, GetThreadLocale, SetThreadExecutionState, SetComputerNameExW, ExitProcess, GetLogicalDrives, IsDebuggerPresent, ExitThread, CreateEventW, CreateNamedPipeW, SetEvent, ConnectNamedPipe, DisconnectNamedPipe, GetACP, SearchPathW, GetSystemTime, OpenEventW, CopyFileA, DeleteFileA, GetSystemTimeAsFileTime, GetTickCount, LoadLibraryExW, LoadLibraryA, GlobalAlloc, GlobalFree, InitializeCriticalSection, SetUserGeoID, GetUserGeoID, EnumSystemGeoID, GetUserDefaultLCID, EnumSystemLocalesW, GetLocaleInfoW, IsValidLocale, DnsHostnameToComputerNameW, GetModuleHandleW, GetVersion, FreeLibraryAndExitThread, ReleaseMutex, CreateMutexW, lstrlenA, GetPrivateProfileIntW, GetGeoInfoW, GetOEMCP, WaitForSingleObjectEx, RemoveDirectoryW, GetStartupInfoW, GetTempPathW, CopyFileW, CreateFileMappingW, MapViewOfFile, MoveFileExW, GetModuleFileNameW, GetLocalTime, WideCharToMultiByte, OutputDebugStringW, SetUnhandledExceptionFilter, GetFullPathNameW, GetCurrentDirectoryW, SetCurrentDirectoryW, CreateActCtxW, SetEnvironmentVariableW, CreateDirectoryW, FindNextFileW, GetTempFileNameW, RaiseException, LocalSize, WritePrivateProfileStringW, GetSystemInfo, FormatMessageW, GetFileAttributesW, lstrcmpW, LocalAlloc, GetExitCodeThread, GetCPInfo, LocalFree, GetCurrentThreadId, CreateThread, SetTimeZoneInformation, Sleep, GetDriveTypeW, SetErrorMode, GetFileSize, SetFilePointer, ReadFile, MultiByteToWideChar, FlushFileBuffers, VerifyVersionInfoW, DuplicateHandle, ExpandEnvironmentStringsW, GetLocaleInfoA, CreateProcessW, WaitForSingleObject, GetWindowsDirectoryA, EnumSystemLocalesA, IsValidCodePage, SetStdHandle, CreateFileA, SetEndOfFile, lstrcmpA, GetFullPathNameA, CreateEventA, IsDBCSLeadByte, FormatMessageA, CompareStringW, UnmapViewOfFile, _lwrite, _lcreat, SetFileAttributesA, _lclose, _lread, _llseek, _lopen, GetCurrentThread, SetThreadAffinityMask, GetProcessAffinityMask, GetCurrentProcess, InterlockedIncrement, GetProcAddress, LoadLibraryW, GetPrivateProfileStringW, FreeLibrary, DeleteFileW, SetFileAttributesW, GetWindowsDirectoryW, HeapFree, HeapAlloc, GetProcessHeap, lstrcatW, FindClose, FindFirstFileW, QueryDosDeviceW, CloseHandle, GetLastError, DeviceIoControl, CreateFileW, lstrlenW, GetVolumeInformationW, GetSystemDirectoryW, lstrcpyW, lstrcpynW, GetSystemWindowsDirectoryW, lstrcmpiW, SetLastError, GetDiskFreeSpaceW, GetTimeZoneInformation, GetVersionExW, GetEnvironmentVariableW, GetComputerNameW, WriteFile, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetExitCodeProcess, TerminateProcess
> POWRPROF.dll: SetActivePwrScheme
> USER32.dll: CharToOemA, GetSysColorBrush, wsprintfA, IsDlgButtonChecked, SendMessageW, SetWindowLongW, CheckRadioButton, PostMessageW, GetParent, EnableWindow, GetDlgItem, CheckDlgButton, LoadStringW, SetDlgItemTextW, DestroyIcon, SendDlgItemMessageW, WinHelpW, wsprintfW, CharLowerW, EndDialog, LoadBitmapW, LoadCursorW, PostThreadMessageW, ShowCursor, SetCursor, DialogBoxParamW, IsWindow, SetFocus, SetTimer, KillTimer, DispatchMessageW, GetMessageW, CharUpperBuffW, GetWindowLongW, LoadIconW, MessageBoxW, CharUpperW, EndPaint, GetClientRect, GetSysColor, DrawTextW, GetSystemMetrics, BeginPaint, DefWindowProcW, UnregisterClassW, RegisterClassW, MsgWaitForMultipleObjects, SetForegroundWindow, SetWindowTextW, ReleaseDC, GetDC, LoadImageW, PostQuitMessage, DestroyWindow, RegisterHotKey, SetShellWindow, ShowWindow, CreateWindowExW, PeekMessageW, WaitMessage, GetKeyboardLayout, GetDlgItemTextW, wvsprintfW, ChangeDisplaySettingsW, EnumDisplaySettingsW, CallWindowProcW, GetDlgCtrlID, UpdateWindow, InvalidateRect, CharUpperA, SendMessageTimeoutW, wvsprintfA, MoveWindow, ClientToScreen, GetWindowRect, GetDesktopWindow, GetAsyncKeyState, GetActiveWindow, FillRect, SetActiveWindow, SetWindowPos, EnableMenuItem, GetSystemMenu, MessageBoxA
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
> sfc.dll: -
> sfcfiles.dll: SfcGetFiles
> SHLWAPI.dll: SHDeleteKeyW, StrCmpNIW, StrTrimW, wvnsprintfW
> CRYPTUI.dll: I_CryptUIProtect
> NETAPI32.dll: NetApiBufferFree, NetGetJoinInformation, NetUserSetInfo, NetUserGetInfo, NetpNtStatusToApiStatus
> RPCRT4.dll: UuidToStringW, UuidFromStringW, UuidCreate, RpcBindingFromStringBindingW, RpcStringBindingComposeW, RpcBindingFree, NdrClientCall2, RpcStringFreeW
> urlmon.dll: CoInternetParseUrl
> IMM32.dll: ImmAssociateContext
> WINTRUST.dll: CryptCATClose, CryptCATEnumerateCatAttr, CryptCATAdminAcquireContext, CryptCATAdminRemoveCatalog, CryptCATAdminReleaseContext, IsCatalogFile, CryptCATOpen

( 88 exports )
AsrAddSifEntryA, AsrAddSifEntryW, AsrCreateStateFileA, AsrCreateStateFileW, AsrFreeContext, AsrRestorePlugPlayRegistryData, AsrpGetLocalDiskInfo, AsrpGetLocalVolumeInfo, AsrpRestoreNonCriticalDisksW, CdromPropPageProvider, ComputerClassInstaller, CreateLocalAdminAccount, CreateLocalAdminAccountEx, CreateLocalUserAccount, CriticalDeviceCoInstaller, DevInstallW, DeviceBayClassInstaller, DiskPropPageProvider, DoInstallComponentInfs, EisaUpHalCoInstaller, EisaUpHalPropPageProvider, GenerateName, HdcClassInstaller, InitializeSetupLog, InstallWindowsNt, InvokeExternalApplicationEx, KeyboardClassInstaller, LegacyDriverPropPageProvider, MigrateExceptionPackages, MouseClassInstaller, NtApmClassInstaller, OpkCheckVersion, PS2MousePropPageProvider, PnPInitializationThread, PrepareForAudit, RepairStartMenuItems, ReportError, RunOEMExtraTasks, ScsiClassInstaller, SetAccountsDomainSid, SetupAddOrRemoveTestCertificate, SetupChangeFontSize, SetupChangeLocale, SetupChangeLocaleEx, SetupCreateOptionalComponentsPage, SetupDestroyLanguageList, SetupDestroyPhoneList, SetupEnumerateRegisteredOsComponents, SetupExtendPartition, SetupGetGeoOptions, SetupGetKeyboardOptions, SetupGetLocaleOptions, SetupGetProductType, SetupGetSetupInfo, SetupGetValidEula, SetupInfObjectInstallActionW, SetupInstallCatalog, SetupIsPnpRebootRequired, SetupMapTapiToIso, SetupOobeBnk, SetupOobeCleanup, SetupOobeInitDebugLog, SetupOobeInitPostServices, SetupOobeInitPreServices, SetupPidGen3, SetupQueryRegisteredOsComponent, SetupQueryRegisteredOsComponentsOrder, SetupReadPhoneList, SetupRegisterOsComponent, SetupSetAdminPassword, SetupSetDisplay, SetupSetIntlOptions, SetupSetRegisteredOsComponentsOrder, SetupSetSetupInfo, SetupShellSettings, SetupStartService, SetupUnRegisterOsComponent, StorageCoInstaller, SystemUpdateUserProfileDirectory, TapeClassInstaller, TapePropPageProvider, TerminateSetupLog, UpdatePnpDeviceDrivers, UpgradePrinters, ViewSetupActionLog, VolumeClassInstaller, pSetupDebugPrint, pSetuplogSfcError
PDFiD.: -
RDS...: NSRL Reference Data Set
-

dominat0r · 27.05.2009, 19:35

Hier nun das Combofix-Log:

(Einen Großteil des Logs machten die gesperrten Registrierungsschlüssel aus, in denen ausschließlich Daten eines Computerspiels (Football Manager 2008, FM Scout 2008) enthalten waren. Da der Post sonst zu lang wäre, habe ich diese Zeilen vorerst entfernt.)

Code:

ATTFilter

ComboFix 09-05-26.05 - XXX 27.05.2009 20:05.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1505 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\fmoys.vlx

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


(((((((((((((((((((((((   Dateien erstellt von 2009-04-27 bis 2009-05-27  ))))))))))))))))))))))))))))))
.

2009-05-26 16:47 . 2009-05-26 16:47	--------	d-----w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-05-26 16:47 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-26 16:47 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 16:47 . 2009-05-26 16:47	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-25 18:33 . 2009-05-25 18:33	--------	d-----w	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Nero
2009-05-19 22:17 . 2009-05-19 22:17	10134	----a-r	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-05-19 22:17 . 2009-05-19 22:17	--------	d-----w	c:\programme\Microsoft WSE
2009-05-12 11:43 . 2009-05-08 09:13	3399960	----a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avgui.exe
2009-05-12 11:43 . 2009-05-08 09:13	2302232	----a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avguiadv.dll
2009-05-04 16:10 . 2009-05-04 13:07	2298680	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
2009-05-04 16:10 . 2006-10-16 16:44	196608	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\ssleay32.dll
2009-05-04 16:10 . 2008-03-04 16:52	286720	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\libcurl.dll
2009-05-04 16:10 . 2007-10-31 07:39	59904	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\zlib1.dll
2009-05-04 16:10 . 2007-05-17 11:58	143360	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\libexpatw.dll
2009-05-04 16:10 . 2006-10-18 15:32	499712	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\msvcp71.dll
2009-05-04 16:10 . 2006-10-18 15:32	348160	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\msvcr71.dll
2009-05-04 16:10 . 2006-10-16 16:44	1028096	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\libeay32.dll
2009-05-03 10:58 . 1999-03-23 06:12	304128	----a-w	c:\windows\unin0407.exe
2009-05-03 10:58 . 2009-05-03 10:58	--------	d-----w	c:\dokumente und einstellungen\XXX\WINDOWS

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-27 18:23 . 2008-02-15 10:33	--------	d-----w	c:\programme\Mozilla Thunderbird
2009-05-27 15:32 . 2008-02-20 09:14	--------	d-----w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
2009-05-27 15:29 . 2008-02-20 09:15	1	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-05-27 15:29 . 2008-02-18 10:12	--------	d-----w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0
2009-05-24 21:31 . 2008-02-15 10:53	--------	d-----w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\foobar2000
2009-05-19 22:11 . 2008-02-15 09:38	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-05-19 21:49 . 2009-01-30 13:12	11952	----a-w	c:\windows\system32\avgrsstx.dll
2009-05-08 09:13 . 2009-01-30 13:12	108552	----a-w	c:\windows\system32\drivers\avgtdix.sys
2009-05-05 19:56 . 2008-07-04 04:18	--------	d---a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-09 07:26 . 2001-08-18 14:00	82966	----a-w	c:\windows\system32\perfc007.dat
2009-04-09 07:26 . 2001-08-18 14:00	453106	----a-w	c:\windows\system32\perfh007.dat
2009-04-08 12:48 . 2009-01-20 11:25	--------	d-----w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\uTorrent
2009-04-08 12:12 . 2008-11-02 13:09	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sports Interactive
2009-03-29 18:49 . 2008-02-18 05:39	46000	----a-w	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-25 23:33 . 2009-02-11 20:01	700	----a-w	c:\windows\eReg.dat
2009-03-24 22:12 . 2009-03-24 22:12	304528	----a-w	c:\windows\system32\appdrvrem01.exe
2009-03-24 22:12 . 2009-03-24 22:12	2915944	----a-w	c:\windows\system32\drivers\appdrv01.sys
2009-02-26 20:39 . 2009-02-26 20:40	682520	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Deluxe Ski Jump 3 Patch\UNIST\unins000.exe
2008-07-23 21:38 . 2008-02-14 21:16	67696	----a-w	c:\programme\mozilla firefox\components\jar50.dll
2008-07-23 21:38 . 2008-02-14 21:16	54376	----a-w	c:\programme\mozilla firefox\components\jsd3250.dll
2008-07-23 21:38 . 2008-02-14 21:16	34952	----a-w	c:\programme\mozilla firefox\components\myspell.dll
2008-07-23 21:38 . 2008-02-14 21:16	46720	----a-w	c:\programme\mozilla firefox\components\spellchk.dll
2008-07-23 21:38 . 2008-02-14 21:16	172144	----a-w	c:\programme\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"DAEMON Tools Lite"="d:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="d:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windows\system32\JMRaidSetup.exe" [2007-02-06 1953792]
"Gainward"="c:\windows\TBPanel.exe" [2007-03-23 2173744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"Thunderbird"="c:\programme\Mozilla Thunderbird\thunderbird.exe" [2009-03-19 8500328]
"WheelMouse"="d:\programme\OCZ Technology\Mouse\Amoumain.exe" [2006-12-28 196608]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-08 1947928]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-08 136600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-02-18 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"nlhr"="c:\windows\System32\AdvPack.Dll" [2008-04-14 102400]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-19 21:49	11952	----a-w	c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0lsdelete\0oodbs

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"Boonty Games"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\TVAnts\\Tvants.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"d:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"d:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\SopCast\\sopvod.exe"=
"c:\\Programme\\Cyanide\\GameCenter\\GameCenter.exe"=
"d:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"d:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=
"d:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"d:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"d:\\Programme\\SFT Loader\\leecher.exe"=
"d:\\Programme\\XDCC Downloader\\ircload.exe"=
"d:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"d:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"d:\\Programme\\uTorrent\\uTorrent.exe"=
"d:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"d:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
"d:\\Programme\\Steam\\steamapps\\common\\empire total war\\Empire.exe"=
"d:\\Programme\\Cyanide\\Tour de France - Saison 2008\\PCM.exe"=
"d:\\Programme\\Cyanide\\Tour de France - Saison 2008\\Autorun\\Exe\\Autorun.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"d:\\Programme\\Sports Interactive\\Football Manager 2009\\fm.exe"=
"c:\\Programme\\AVG\\AVG8\\avgui.exe"=
"c:\\Programme\\AVG\\AVG8\\avgtray.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 appdrv01;Application Driver (01);c:\windows\system32\drivers\appdrv01.sys [25.03.2009 00:12 2915944]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [30.01.2009 15:12 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [30.01.2009 15:12 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [30.01.2009 15:12 908568]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [30.01.2009 15:12 298776]
S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc --> c:\windows\System32\appdrvrem01.exe svc [?]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [05.07.2008 05:52 13352]
S3 krait03;Razer krait USB Filter Driver;c:\windows\system32\drivers\krait.sys [18.05.2008 02:41 13324]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [03.04.2008 06:25 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [03.04.2008 06:25 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [03.04.2008 06:25 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [03.04.2008 06:26 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [03.04.2008 06:26 98568]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-05-27 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-02 05:22]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: &Download by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Alles mit FDM herunterladen - file://d:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://d:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://d:\programme\Free Download Manager\dllink.htm
IE: Do&wnload selected by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Link to &MidpX - d:\programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
IE: Videos mit FDM herunterladen - file://d:\programme\Free Download Manager\dlfvideo.htm
TCP: {E7EDCDE7-2DAE-4A3C-9C72-0DF2C35F229C} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.jappy.de/user/dominat0r
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll
FF - component: d:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07076007.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: d:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

---- FIREFOX Richtlinien ----
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.01.01
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-27 20:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------




[HKEY_USERS\S-1-5-21-484763869-1364589140-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:a2,5e,c2,3e,b7,93,82,d0,e1,55,11,ae,12,ef,cf,81,09,b9,c1,75,8d,
   89,9a,af,ad,c6,d2,af,6b,86,9b,fc,88,27,3e,b9,93,44,c9,ec,46,88,46,cf,94,52,\
"rkeysecu"=hex:4a,43,ed,21,1e,c9,96,b1,0b,6d,ad,aa,ab,2f,bb,be

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(776)
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(1708)
c:\windows\system32\Amhooker.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
d:\programme\FolderSize\FolderSizeSvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\oodag.exe
c:\windows\system32\IoctlSvc.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\programme\AVG\AVG8\avgcsrvx.exe
c:\programme\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-27 20:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-27 18:25

Vor Suchlauf: 1.379.942.400 Bytes frei
Nach Suchlauf: 1.289.105.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

1771

dominat0r · 27.05.2009, 19:38

Sorry für diesen Vierfach-Post, aber es ging nicht anders.

Zunächst mal: Wow, tatsächlich updated AVG jetzt wieder und es scheint wesentlich besser zu laufen. Tausend Dank schonmal soweit, toll, was ihr hier leistet!

Zu MAM: Richtig, es lief in dieser alten Version zwar, fand aber nichts.

Für mögliche weitere Schritte etc. warte ich zunächst mal dein/euer Feedback ab.

Chris4You · 28.05.2009, 07:26

Hi,

nur noch einige Sachen zum überprüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

c:\windows\system32\CTSVCCDA.EXE (gibt es eigentlich nur bis win98/Me... für CD-Laufwerke...?)
c:\windows\system32\drivers\appdrv01.sys
c:\windows\System32\appdrvrem01.exe
c:\windows\JM\JMInsIDE.exe
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Dann bitte MAM updaten und Komplettscan und alles bereinigen lassen, Log posten!

chris

dominat0r · 28.05.2009, 11:41

Ergebnis der CTSVCCDA.EXE:

Code:

ATTFilter

 Datei CTSVCCDA.EXE empfangen 2009.05.28 10:38:05 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.28	-
AhnLab-V3	5.0.0.2	2009.05.28	-
AntiVir	7.9.0.180	2009.05.28	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.28	-
Avast	4.8.1335.0	2009.05.27	-
AVG	8.5.0.339	2009.05.27	-
BitDefender	7.2	2009.05.28	-
CAT-QuickHeal	10.00	2009.05.28	-
ClamAV	0.94.1	2009.05.28	-
Comodo	1210	2009.05.28	-
DrWeb	5.0.0.12182	2009.05.28	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6526	2009.05.28	-
F-Prot	4.4.4.56	2009.05.28	-
F-Secure	8.0.14470.0	2009.05.28	-
Fortinet	3.117.0.0	2009.05.28	-
GData	19	2009.05.28	-
Ikarus	T3.1.1.57.0	2009.05.28	-
K7AntiVirus	7.10.746	2009.05.27	-
Kaspersky	7.0.0.125	2009.05.28	-
McAfee	5628	2009.05.27	-
McAfee+Artemis	5628	2009.05.27	-
McAfee-GW-Edition	6.7.6	2009.05.28	-
Microsoft	1.4701	2009.05.28	-
NOD32	4111	2009.05.28	-
Norman	6.01.05	2009.05.28	-
nProtect	2009.1.8.0	2009.05.28	-
Panda	10.0.0.14	2009.05.28	-
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.28	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.28	-
Sunbelt	3.2.1858.2	2009.05.28	-
Symantec	1.4.4.12	2009.05.28	-
TheHacker	6.3.4.3.333	2009.05.28	-
TrendMicro	8.950.0.1092	2009.05.28	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.28.1758	2009.05.28	-
VirusBuster	4.6.5.0	2009.05.27	-
weitere Informationen
File size: 44032 bytes
MD5...: 3c8b6609712f4ff78e521f6dcfc4032b
SHA1..: 029cfb83a28a3f04ade5d7c91b3aec43188501e2
SHA256: dfcfd5f2d35dda25dd91b4d732bdf84d1526ab11084e22523d51abb2a8608402
SHA512: 3939a227aa8d680722c33fba6c5045664091b217473d1ab51b9eff36f7a8f26e
2e9c539159ab7b52897ed66200abe96af3f60195c33b190ab481c65bfe71f5a5
ssdeep: 768:Wu81s20EkCFVfmnMmuyJEhZyd3/Blg20cEibts:v81SEkCDfwhuSEhZyRBlm
cEibK
PEiD..: InstallShield 2000
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2800
timedatestamp.....: 0x3854d9ee (Mon Dec 13 11:35:10 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x63e5 0x6400 6.43 5a289b392705b702f14b2f2003e96cb8
.rdata 0x8000 0xd9c 0xe00 5.33 4fe2e61d72e4f4e3bf9db19b7c1786e9
.data 0x9000 0x4448 0x3000 1.53 67e3e8ef2a303a7158a909d015e2d2be
.rsrc 0xe000 0x590 0x600 3.59 f19a277e40894eafdeeee243b40e341c

( 3 imports )
> KERNEL32.dll: GetCurrentThreadId, SetEvent, Sleep, ResetEvent, GetModuleFileNameA, CreateEventA, GetDriveTypeA, WaitForSingleObject, GetLastError, LocalFree, GetFileType, GetStartupInfoA, LocalAlloc, RtlUnwind, GetCommandLineA, GetVersion, ExitProcess, HeapFree, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetStdHandle, IsBadCodePtr, LCMapStringA, HeapDestroy, HeapCreate, VirtualFree, WriteFile, HeapAlloc, VirtualAlloc, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, GetProcAddress, GetStringTypeW, LCMapStringW, SetFilePointer, GetStringTypeA, SetStdHandle, CloseHandle, LoadLibraryA, FlushFileBuffers
> USER32.dll: wsprintfA
> ADVAPI32.dll: GetLengthSid, GetAclInformation, StartServiceCtrlDispatcherA, RegisterEventSourceA, ReportEventA, DeleteService, CreateServiceA, RegCreateKeyA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, SetServiceStatus, RegisterServiceCtrlHandlerA, SetFileSecurityA, SetSecurityDescriptorDacl, AddAccessAllowedAce, AddAce, GetAce, InitializeAcl, RegCreateKeyExA, DeregisterEventSource, GetSecurityDescriptorDacl, InitializeSecurityDescriptor, GetFileSecurityA, LookupAccountNameA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

( Creative Technologies Ltd. )

> Sound Blaster Sound Blaster Audigy 2: CTSVCCDA.EXE

( Gateway )

> Gateway Sound Blaster Audigy Sound Card Driver and Applications: CTSVCCDA.EXE

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3c8b6609712f4ff78e521f6dcfc4032b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3c8b6609712f4ff78e521f6dcfc4032b</a>

dominat0r · 28.05.2009, 11:45

Ergebnis der appdrv01.sys:

Code:

ATTFilter

 Datei appdrv01.sys empfangen 2009.05.28 10:41:25 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/39 (2.57%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.28	-
AhnLab-V3	5.0.0.2	2009.05.28	-
AntiVir	7.9.0.180	2009.05.28	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.28	-
Avast	4.8.1335.0	2009.05.27	-
AVG	8.5.0.339	2009.05.27	-
BitDefender	7.2	2009.05.28	-
CAT-QuickHeal	10.00	2009.05.28	-
ClamAV	0.94.1	2009.05.28	-
Comodo	1210	2009.05.28	-
DrWeb	5.0.0.12182	2009.05.28	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6526	2009.05.28	-
F-Prot	4.4.4.56	2009.05.28	-
F-Secure	8.0.14470.0	2009.05.28	-
Fortinet	3.117.0.0	2009.05.28	-
GData	19	2009.05.28	-
Ikarus	T3.1.1.57.0	2009.05.28	-
K7AntiVirus	7.10.746	2009.05.27	-
Kaspersky	7.0.0.125	2009.05.28	-
McAfee	5628	2009.05.27	-
McAfee+Artemis	5628	2009.05.27	-
McAfee-GW-Edition	6.7.6	2009.05.28	Win32.Malware.gen!84 (suspicious)
Microsoft	1.4701	2009.05.28	-
NOD32	4111	2009.05.28	-
Norman	6.01.05	2009.05.28	-
nProtect	2009.1.8.0	2009.05.28	-
Panda	10.0.0.14	2009.05.28	-
Prevx	3.0	2009.05.28	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.28	-
Sunbelt	3.2.1858.2	2009.05.28	-
Symantec	1.4.4.12	2009.05.28	-
TheHacker	6.3.4.3.333	2009.05.28	-
TrendMicro	8.950.0.1092	2009.05.28	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.28.1758	2009.05.28	-
VirusBuster	4.6.5.0	2009.05.27	-
weitere Informationen
File size: 2915944 bytes
MD5...: fec0c3f9b39c5d17ec3442f244ec0474
SHA1..: ccc1f8e8f6b9ca17b6ee980160f1fcd02853ce80
SHA256: 9fae0ad7eb5a4bd4ff2450d648c1ee7c928fefd22f85dadba77652e2c9781f1d
ssdeep: 49152:d2JKmrNWuqD8vu6pvZV6764KTNOKHoTDSSy+oue4D7LYII/EGxNnG:IKg9
LvuC5XMKHvcE4XFEG
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2c6083
timedatestamp.....: 0x4868942a (Mon Jun 30 08:07:06 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x101e 0x1200 5.96 b5d598a96b4b6abae6e0647886c2b98a
.rdata 0x3000 0x394 0x400 4.19 c146beea6b19f9e749b429278b486d63
.data 0x4000 0x444 0x200 0.41 e32a26022546d3ebf741de56ddd8f2ad
PAGECORE 0x5000 0x2a4f00 0x2a5000 6.96 9fc8c44601204cee14c3719111960847
PAGE 0x2aa000 0x4e10 0x5000 6.27 84fb0bcc922b77ab7799de667ea1b25c
PAGEFS 0x2af000 0x15680 0x15800 6.65 617e2926aa3dee2cbbf0d2966f3ccd1a
INIT 0x2c5000 0x24d2 0x2600 5.55 7aef0a42d6983fd55fad1be55e517207
.rsrc 0x2c8000 0x580 0x600 3.19 2d8e11b798104153acd09d6b5023141d
.reloc 0x2c9000 0x226c 0x2400 1.49 2dfbb513034b7de28bd8900051d1f4aa

( 2 imports )
> HAL.dll: KfLowerIrql, KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock
> ntoskrnl.exe: MmGetSystemRoutineAddress, PsGetVersion, ExRaiseAccessViolation, MmUserProbeAddress, ExRaiseDatatypeMisalignment, ExAllocatePoolWithTag, ExFreePoolWithTag, memset, memcpy, RtlUpperChar, RtlUpcaseUnicodeChar, RtlAnsiStringToUnicodeString, RtlxAnsiStringToUnicodeSize, NlsMbOemCodePageTag, ZwClose, ObfDereferenceObject, ObReferenceObjectByHandle, ExEventObjectType, ZwCreateEvent, KeInitializeEvent, KeWaitForSingleObject, KeSetEvent, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwCreateFile, ZwQueryInformationFile, ZwReadFile, ZwWriteFile, ZwDeleteFile, ZwCreateKey, ZwOpenKey, ZwFlushKey, ZwEnumerateKey, ZwDeleteKey, ZwSetValueKey, ZwDeleteValueKey, ZwQueryValueKey, RtlQueryRegistryValues, ExReleaseFastMutexUnsafe, ExAcquireFastMutexUnsafe, ZwQuerySystemInformation, MmSystemRangeStart, IofCallDriver, IoBuildDeviceIoControlRequest, KeDelayExecutionThread, _allmul, IoFreeWorkItem, KeCancelTimer, KeSetTimer, KeClearEvent, IoQueueWorkItem, IoAllocateWorkItem, KeInitializeDpc, KeInitializeTimer, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, KeGetCurrentThread, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, IoGetDeviceObjectPointer, MmProbeAndLockPages, MmLockPagableDataSection, MmUnlockPagableImageSection, ExInterlockedPopEntrySList, ExInterlockedPushEntrySList, ExDeleteNPagedLookasideList, ExInitializeNPagedLookasideList, KeUnstackDetachProcess, KeStackAttachProcess, IoReleaseCancelSpinLock, IoGetCurrentProcess, ObfReferenceObject, ZwLoadDriver, RtlUnwind, KeTickCount, KeBugCheckEx

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): embedded

dominat0r · 28.05.2009, 12:07

Ergebnis von appdrvrem01.exe:

Code:

ATTFilter

Datei appdrvrem01.exe empfangen 2009.05.28 10:46:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)	

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.28	-
AhnLab-V3	5.0.0.2	2009.05.28	-
AntiVir	7.9.0.180	2009.05.28	-
Authentium	5.1.2.4	2009.05.28	-
Avast	4.8.1335.0	2009.05.27	-
AVG	8.5.0.339	2009.05.27	-
CAT-QuickHeal	10.00	2009.05.28	-
ClamAV	0.94.1	2009.05.28	-
Comodo	1210	2009.05.28	-
eTrust-Vet	31.6.6526	2009.05.28	-
F-Prot	4.4.4.56	2009.05.28	-
Fortinet	3.117.0.0	2009.05.28	-
GData	19	2009.05.28	-
Ikarus	T3.1.1.57.0	2009.05.28	-
K7AntiVirus	7.10.746	2009.05.27	-
Kaspersky	7.0.0.125	2009.05.28	-
McAfee	5628	2009.05.27	-
McAfee+Artemis	5628	2009.05.27	-
McAfee-GW-Edition	6.7.6	2009.05.28	-
Microsoft	1.4701	2009.05.28	-
Norman	6.01.05	2009.05.28	-
nProtect	2009.1.8.0	2009.05.28	-
Panda	10.0.0.14	2009.05.28	-
PCTools	4.4.2.0	2009.05.21	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.28	-
Sunbelt	3.2.1858.2	2009.05.28	-
Symantec	1.4.4.12	2009.05.28	-
TrendMicro	8.950.0.1092	2009.05.28	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.28.1758	2009.05.28	-
VirusBuster	4.6.5.0	2009.05.27	-
weitere Informationen
File size: 304528 bytes
MD5...: 3f56e9e6f01d014a70718f3986566481
SHA1..: 09f6b561551b92ff498dec8633ee6ccc0daffa07
SHA256: b9c39e3b3b2ac52dd890c89a3ab06e2a812ea4d7b291145f776bb8a35d4cb0a5
ssdeep: 6144:JrE1282PtIvOZEBxMAluxEqozvN7JEN8kmBxY1VJheO+BH/tniZ+bvT/jGb
nPtF0:JI0Jd+BlqL+qxu
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14842
timedatestamp.....: 0x48689439 (Mon Jun 30 08:07:21 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b903 0x2c000 6.56 5eb91fbfae17dd2f7681a11dd859c50e
.rdata 0x2d000 0x1634c 0x17000 4.76 ea3abc23bd474e07e5bcc8be7cfd082a
.data 0x44000 0x5d94 0x4000 4.69 2ec59dce875d2fcb69a76efe0b6d29bc
.rsrc 0x4a000 0x4c8 0x1000 1.29 d80ef2b75cfd1159071bc82f77ddb834

( 4 imports )
> VERSION.dll: GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoSizeW
> KERNEL32.dll: GetCurrentProcess, LoadLibraryW, LocalFree, SetLastError, GetFullPathNameW, QueryDosDeviceW, GetVersionExA, GetVersionExW, LoadLibraryA, CreateFileA, CreateFileW, GetModuleFileNameA, CreateFileMappingA, CreateFileMappingW, CreateMutexA, CreateMutexW, GetSystemDirectoryA, GetSystemDirectoryW, GetWindowsDirectoryA, GetWindowsDirectoryW, GetDriveTypeW, FindFirstFileA, FindFirstFileW, GetEnvironmentVariableW, GetModuleHandleW, WriteConsoleA, CreateProcessA, CreateProcessW, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, DeleteFileA, DeleteFileW, LocalAlloc, FormatMessageA, FormatMessageW, GetCPInfo, WideCharToMultiByte, FindClose, GetFileSize, ReadFile, WriteFile, SetFileTime, MapViewOfFile, UnmapViewOfFile, DeviceIoControl, Sleep, AreFileApisANSI, GetOEMCP, GetACP, SleepEx, WaitForMultipleObjectsEx, ReleaseMutex, GetExitCodeProcess, WaitForSingleObject, SetEndOfFile, SetStdHandle, SetFilePointer, GetConsoleOutputCP, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, LCMapStringA, GetSystemTime, SystemTimeToFileTime, FreeLibrary, CloseHandle, LCMapStringW, MultiByteToWideChar, GetModuleHandleA, GetProcAddress, InterlockedDecrement, InterlockedIncrement, GetTickCount, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetEnvironmentVariableA, GetStdHandle, WriteConsoleW, VirtualFree, VirtualAlloc, GetLastError, GetCommandLineW, GetFileAttributesA, HeapSize, FlushFileBuffers, GetConsoleMode, HeapAlloc, HeapFree, RtlUnwind, HeapReAlloc, RaiseException, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapDestroy, HeapCreate, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP
> USER32.dll: MessageBoxA, MessageBoxW
> ADVAPI32.dll: RegCloseKey, QueryServiceStatus, ControlService, DeleteService, CloseServiceHandle, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegQueryValueExW, RegQueryValueExA, RegDeleteValueW, RegSetValueExW, RegSetValueExA, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegOpenKeyExA, RegCreateKeyExW, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, StartServiceW, ChangeServiceConfigW, QueryServiceConfigW, CreateServiceW, OpenServiceW, OpenSCManagerW, SetServiceStatus

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3f56e9e6f01d014a70718f3986566481' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3f56e9e6f01d014a70718f3986566481</a>

dominat0r · 28.05.2009, 12:11

Ergebnis von JMInsIDE.exe:

Code:

ATTFilter

 Datei JMInsIDE.exe empfangen 2009.05.28 11:08:23 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.28	-
AhnLab-V3	5.0.0.2	2009.05.28	-
AntiVir	7.9.0.180	2009.05.28	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.28	-
Avast	4.8.1335.0	2009.05.27	-
AVG	8.5.0.339	2009.05.27	-
BitDefender	7.2	2009.05.28	-
CAT-QuickHeal	10.00	2009.05.28	-
ClamAV	0.94.1	2009.05.28	-
Comodo	1210	2009.05.28	-
DrWeb	5.0.0.12182	2009.05.28	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6526	2009.05.28	-
F-Prot	4.4.4.56	2009.05.28	-
F-Secure	8.0.14470.0	2009.05.28	-
Fortinet	3.117.0.0	2009.05.28	-
GData	19	2009.05.28	-
Ikarus	T3.1.1.57.0	2009.05.28	-
K7AntiVirus	7.10.746	2009.05.27	-
Kaspersky	7.0.0.125	2009.05.28	-
McAfee	5628	2009.05.27	-
McAfee+Artemis	5628	2009.05.27	-
McAfee-GW-Edition	6.7.6	2009.05.28	-
Microsoft	1.4701	2009.05.28	-
NOD32	4111	2009.05.28	-
Norman	6.01.05	2009.05.28	-
nProtect	2009.1.8.0	2009.05.28	-
Panda	10.0.0.14	2009.05.28	-
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.28	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.28	-
Sunbelt	3.2.1858.2	2009.05.28	-
Symantec	1.4.4.12	2009.05.28	-
TheHacker	6.3.4.3.333	2009.05.28	-
TrendMicro	8.950.0.1092	2009.05.28	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.28.1758	2009.05.28	-
VirusBuster	4.6.5.0	2009.05.27	-
weitere Informationen
File size: 36864 bytes
MD5...: 47bba427e91cbb98e41a17b38644987c
SHA1..: c98fbbec42f5c98629c6926745f649606c83beda
SHA256: a65bf90c1b6d4c6222745888cce917a73cb39477bb392e6ca31ddf5833c15d52
ssdeep: 384:hHe37o1oIyTl3Sj4qLOclaLsamlAodKvd3wp8LNyqPM2815osMO:p07gxAl3
FqqlsCv5wp8ZfPI15osM
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ 5.0 (51.2%)
Win32 Executable MS Visual C++ (generic) (31.8%)
Win32 Executable Generic (7.1%)
Win32 Dynamic Link Library (generic) (6.3%)
Generic Win/DOS Executable (1.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2152
timedatestamp.....: 0x4545d26e (Mon Oct 30 10:22:38 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5614 0x6000 6.20 748c3bb15b8784463c7c5de5678bceac
.rdata 0x7000 0x9b0 0x1000 3.76 34eaceafd83b534ddf838951cb6b9a97
.data 0x8000 0x1f5c 0x1000 1.96 286559f24da3bda0b27c824bed148a30

( 3 imports )
> KERNEL32.dll: GetWindowsDirectoryA, CreateProcessA, LoadLibraryA, SetEndOfFile, SetFilePointer, GetProcAddress, FreeLibrary, lstrlenA, GetCommandLineA, GetVersionExA, GetModuleHandleA, GetStartupInfoA, GetVersion, ExitProcess, HeapFree, GetLastError, CloseHandle, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, WriteFile, MultiByteToWideChar, LCMapStringA, LCMapStringW, HeapAlloc, VirtualAlloc, HeapReAlloc, SetStdHandle, FlushFileBuffers, CreateFileA, GetCPInfo, GetACP, GetOEMCP, GetStringTypeA, GetStringTypeW, ReadFile
> USER32.dll: wsprintfA
> ADVAPI32.dll: RegEnumKeyExA, RegQueryValueExA, RegCloseKey, RegOpenKeyExA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=47bba427e91cbb98e41a17b38644987c' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=47bba427e91cbb98e41a17b38644987c</a>

dominat0r · 28.05.2009, 12:25

Ergebnis der ARPRODUCTICON.exe:

Code:

ATTFilter

 Datei ARPPRODUCTICON.exe empfangen 2009.05.28 11:15:42 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.28	-
AhnLab-V3	5.0.0.2	2009.05.28	-
AntiVir	7.9.0.180	2009.05.28	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.28	-
Avast	4.8.1335.0	2009.05.27	-
AVG	8.5.0.339	2009.05.27	-
BitDefender	7.2	2009.05.28	-
CAT-QuickHeal	10.00	2009.05.28	-
ClamAV	0.94.1	2009.05.28	-
Comodo	1210	2009.05.28	-
DrWeb	5.0.0.12182	2009.05.28	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6526	2009.05.28	-
F-Prot	4.4.4.56	2009.05.28	-
F-Secure	8.0.14470.0	2009.05.28	-
Fortinet	3.117.0.0	2009.05.28	-
GData	19	2009.05.28	-
Ikarus	T3.1.1.57.0	2009.05.28	-
K7AntiVirus	7.10.746	2009.05.27	-
Kaspersky	7.0.0.125	2009.05.28	-
McAfee	5628	2009.05.27	-
McAfee+Artemis	5628	2009.05.27	-
McAfee-GW-Edition	6.7.6	2009.05.28	-
Microsoft	1.4701	2009.05.28	-
NOD32	4111	2009.05.28	-
Norman	6.01.05	2009.05.28	-
nProtect	2009.1.8.0	2009.05.28	-
Panda	10.0.0.14	2009.05.28	-
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.28	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.28	-
Sunbelt	3.2.1858.2	2009.05.28	-
Symantec	1.4.4.12	2009.05.28	-
TheHacker	6.3.4.3.333	2009.05.28	-
TrendMicro	8.950.0.1092	2009.05.28	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.28.1758	2009.05.28	-
VirusBuster	4.6.5.0	2009.05.27	-
weitere Informationen
File size: 10134 bytes
MD5...: 6e42cf0d47af25dea4cecdbe093d521c
SHA1..: ec3e157d289629ab3c391800e7d8774e0f3a2ec0
SHA256: 7e1f9048d457369e50ee2ccc3659c897a740ecf722036858c88390115e5612a1
SHA512: 11846707cf38ee1d08563263df52a500400623918ed80772824ccea23c205544
60ac7f63a5eff5bc76eee7fef0cd7508d4b5c3da6eeee7113662ee605a8be8a8
ssdeep: 96:SYONfeZEWVArvU3mONfeZEWV4+xF9p0ONfeZEWVblMb6UjjDhPm2TBnDifnZP
mS:KNeTL3TNeT4+vDFNeTb6bVPmSB2nZPmS
PEiD..: -
TrID..: File type identification
Windows Icon (57.2%)
MPEG Video (42.7%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

( Borland Software Corp. )

> Delphi Studio: SetupIcon.ibd
> Delphi Studio with .NET interoperability: SetupIcon.ibd

( Microsoft )

> Applications, Developer Tools: SETUPICON.IBD
> MSDN Disc 2436.12: SETUP.ICO
> Developer Tools, Servers: SETUPICON.IBD
> MSDN Disc 2436.10: SETUP.ICO
> MSDN MS .NET framework 1.1 SDK, App. Center 2000 dev. ed., Commerce server 2002 dev. ed., Data Analyzer 3.5, Host Integration server 2000: SETUP.ICO
> Exchange Server 2000: SETUPICON.IBD
> MSDN MS .NET Framework 1.1 SDK, IE 5.5 SP1, IE 6.0, IE 6.0 SP1, SharePoint Server 2001, SharePoint Server 2001 SP2A: SETUP.ICO
> MSDN Disc 3089: SETUPICON.IBD
> MSDN Disc 2436.18: SETUP.ICO
> MSDN Disc 2436.19: SETUP.ICO
> Servers: SETUPICON.IBD
> SharePoint Portal Server 2001: SETUP.ICO
> MSDN Disc2436.3: SETUP.ICO
> .NET Framework SDK: SETUP.ICO
> Applications, Developer Tools, Servers: SETUP.ICO
> Exchange 2000 Enterprise Server: SETUPICON.IBD
> MSDN Disk 2436.22: SETUP.ICO
> MSDN Disc: SETUP.ICO
> MSDN Disc 2436.5: SETUP.ICO
> MSDN Disc 2436.6: SETUP.ICO
> MSDN Disc 2436.7: SETUP.ICO
> MSDN Disc 2436.8: SETUP.ICO
> Visual SourceSafe: SETUPICON.IBD
> MSDN Disc 2436.27: SETUP.ICO
> MSDN Disc 2436.26: SETUP.ICO
> MSDN Disc 2436.25: SETUP.ICO
> MSDN Disc 2436.24: SETUP.ICO
> MSDN Disc 2436.22: SETUP.ICO
> MSDN Disc 2436.20: SETUP.ICO
> MSDN Disc 2436.28: SETUP.ICO
> MSDN Disc 3089.1: SETUPICON.IBD
> SharePoint Portal Server: SETUP.ICO
> Beta 2 Kit 2003: Setup.ico
> Tahoe Server: SETUP.ICO
> MSDN SharePoint portal server 2001, SMS 2.0 w SP2, MS IE 5.5 SP1, IE 6.0, IE 6.0 SP1, Windows 98, Windows ME: SETUP.ICO
> Disc 2488: SETUPICON.IBD,SetupIcon.ibd
> MSDN MS Application Center 2000, BizTalk Server 2002, BizTalk server 2004 beta, Content Management Server 2002, Identity Integration Server 2003: SETUP.ICO
> Internet Explorer Versions: SETUP.ICO
> MSDN Disc2488.1: SETUPICON.IBD,SetupIcon.ibd
> MSDN Office Publisher 2003: SETUP.ICO
> Developer Tools: SETUPICON.IBD
> MSDN Disk 2436.14: SETUP.ICO

( Future Publishing )

> ATmission Live CD - MEPIS Linux: binary9

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=6e42cf0d47af25dea4cecdbe093d521c' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=6e42cf0d47af25dea4cecdbe093d521c</a>

Der MAM-Bericht folgt in Kürze.

dominat0r · 28.05.2009, 14:48

So, hier der MAM-Bericht:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2187
Windows 5.1.2600 Service Pack 3

28.05.2009 15:41:48
mbam-log-2009-05-28 (15-41-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)
Durchsuchte Objekte: 558513
Laufzeit: 1 hour(s), 52 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht also gut aus. Danke

Chris4You · 28.05.2009, 15:24

Hi,

gut wir machen nur noch eine kurze Überprüfung auf Rootkits:

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

chris