|
Plagegeister aller Art und deren Bekämpfung: Scheinbar schwerwiegender Virus/WurmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.05.2009, 17:38 | #1 |
| Scheinbar schwerwiegender Virus/Wurm Hallo, seit einigen Tagen beschleicht mich bereits das Gefühl, dass ich mir ordentlich was eingefangen habe. Einzig Positives dabei: Mein System rennt jetzt schon seit fast 2 Jahren ohne Neuaufsetzen, daher ist es ohnehin fast überfällig. Jedenfalls sieht die Problematik so aus: Diverse Internetseiten öffnen sich deutlich langsamer oder gar überhaupt nicht (Bsp. Youtube), das System ist insgesamt wesentlich langsamer geworden, teilweise öffnen sich Internetseiten, auf die ich gar nicht will und das wohl wichtige Indiz für einen Virus: Mein AVG Free Edition updated seit einigen Tagen nicht mehr (Angeblich keine Verbindung zum Server). Zudem habe ich soeben herausgefunden, dass ich keine MSI-Installer mehr ausführen kann, aber dazu an geeigneter Stelle mehr. Meine Entscheidung fiel also recht schnell: Platt machen, neu aufsetzen! Bei 400GB Daten leider kein leichtes Unterfangen, da ich knapp 100 davon (Musik, Videos, etc.) eigentlich auf jeden Fall behalten möchte. Doof nur, dass ich lediglich eine 60GB-Backup-Festplatte besitze, aber das soll nicht euer Problem sein. Ich schloss also die Backup-Festplatte an und wollte sie mit dem Data Lifeguard Diagnostic Tool von Western Digital formatieren. Also, Programm gezogen, installiert: Denkste! Installer meldet Fehler (Microsoft Installer nicht korrekt installiert usw.). Der Fehler im System scheint also bereits wesentlich tiefer zu sitzen, als ich dachte. Zumindest mit Partition Magic funktioniert die einfache High-Level-Formatierung. Meine Frage lautet nun schlicht und einfach: Wie gehe ich am Besten vor? Versuchen, zunächst sämtliche Viren/Würmer ausfindig zu machen und zu beseitigen, was mit einem defekten Antivirus-Programm und einer großen Datenmenge recht schwierig werden dürfte, oder auf Risiko setzen und mein Backup ohne Low-Level-Rundum-Formatierung durchführen, mit der Gefahr, dass der Virus erhalten bleibt und auch im neuen System existiert? Sämtliche Tipps, Tricks und Anweisungen sind sehr willkommen. Natürlich reiche ich auch etwaige HJT-Protokolle etc. nach, wenn benötigt. Danke im Voraus, Domi EDIT: Entschuldigt die Verzögerung. Also, CCleaner ausgeführt, alles wunderbar. Bei Anti-Malware dann das Problem: Auch das lässt sich nicht updaten, obwohl keine Firewall blockiert. Langsam wirds unheimlich.. Ich habe inzwischen herausgefunden, dass mein Problem dem hier - Klick - recht ähnlich ist, leider. Ich komme auch nicht mehr in die Registry. Ich habe schon etwas Angst, da ich noch in den letzten Tagen ebay benutzt und online eine Reise gebucht habe.. Geändert von dominat0r (26.05.2009 um 18:13 Uhr) |
26.05.2009, 18:16 | #2 |
| Scheinbar schwerwiegender Virus/Wurm Hier nun mein HiJackThis-Logfile:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:14:38, on 26.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.exe D:\Programme\FolderSize\FolderSizeSvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\IoctlSvc.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wscntfy.exe D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\TBPanel.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe D:\Programme\OCZ Technology\Mouse\Amoumain.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Windows Live\Messenger\MsnMsgr.Exe D:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Java\jre6\bin\jucheck.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\explorer.exe D:\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - D:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - D:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Thunderbird] "C:\Programme\Mozilla Thunderbird\thunderbird.exe" O4 - HKLM\..\Run: [WheelMouse] D:\Programme\OCZ Technology\Mouse\Amoumain.exe O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user') O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Link to &MidpX - D:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EDCDE7-2DAE-4A3C-9C72-0DF2C35F229C}: NameServer = 192.168.2.1 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Folder Size (FolderSize) - Brio - D:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe -- End of file - 8996 bytes |
27.05.2009, 15:24 | #3 |
| Scheinbar schwerwiegender Virus/Wurm Hi,
__________________Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\System32\appdrvrem01.exe c:\WINDOWS\System32\syssetup.dll
MAM läuft aber meldet nichts, oder? Dann : Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe chris
__________________ |
27.05.2009, 18:57 | #4 |
| Scheinbar schwerwiegender Virus/Wurm Danke schonmal für deine Hilfe! Hier das Ergebnis für appdrvrem01.exe: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.27 - AhnLab-V3 5.0.0.2 2009.05.27 - AntiVir 7.9.0.168 2009.05.27 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.27 - Avast 4.8.1335.0 2009.05.26 - AVG 8.5.0.339 2009.05.27 - BitDefender 7.2 2009.05.27 - CAT-QuickHeal 10.00 2009.05.27 - ClamAV 0.94.1 2009.05.27 - Comodo 1207 2009.05.27 - DrWeb 5.0.0.12182 2009.05.27 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6524 2009.05.27 - F-Prot 4.4.4.56 2009.05.27 - F-Secure 8.0.14470.0 2009.05.27 - Fortinet 3.117.0.0 2009.05.27 - GData 19 2009.05.27 - Ikarus T3.1.1.57.0 2009.05.27 - K7AntiVirus 7.10.746 2009.05.27 - Kaspersky 7.0.0.125 2009.05.27 - McAfee 5628 2009.05.27 - McAfee+Artemis 5628 2009.05.27 - McAfee-GW-Edition 6.7.6 2009.05.27 - Microsoft 1.4701 2009.05.27 - NOD32 4109 2009.05.27 - Norman 6.01.05 2009.05.27 - nProtect 2009.1.8.0 2009.05.27 - Panda 10.0.0.14 2009.05.27 - PCTools 4.4.2.0 2009.05.21 - Prevx 3.0 2009.05.27 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.27 - Sunbelt 3.2.1858.2 2009.05.27 - Symantec 1.4.4.12 2009.05.27 - TheHacker 6.3.4.3.332 2009.05.26 - TrendMicro 8.950.0.1092 2009.05.27 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.27.1757 2009.05.27 - weitere Informationen File size: 304528 bytes MD5...: 3f56e9e6f01d014a70718f3986566481 SHA1..: 09f6b561551b92ff498dec8633ee6ccc0daffa07 SHA256: b9c39e3b3b2ac52dd890c89a3ab06e2a812ea4d7b291145f776bb8a35d4cb0a5 ssdeep: 6144:JrE1282PtIvOZEBxMAluxEqozvN7JEN8kmBxY1VJheO+BH/tniZ+bvT/jGb nPtF0:JI0Jd+BlqL+qxu PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x14842 timedatestamp.....: 0x48689439 (Mon Jun 30 08:07:21 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2b903 0x2c000 6.56 5eb91fbfae17dd2f7681a11dd859c50e .rdata 0x2d000 0x1634c 0x17000 4.76 ea3abc23bd474e07e5bcc8be7cfd082a .data 0x44000 0x5d94 0x4000 4.69 2ec59dce875d2fcb69a76efe0b6d29bc .rsrc 0x4a000 0x4c8 0x1000 1.29 d80ef2b75cfd1159071bc82f77ddb834 ( 4 imports ) > VERSION.dll: GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoSizeW > KERNEL32.dll: GetCurrentProcess, LoadLibraryW, LocalFree, SetLastError, GetFullPathNameW, QueryDosDeviceW, GetVersionExA, GetVersionExW, LoadLibraryA, CreateFileA, CreateFileW, GetModuleFileNameA, CreateFileMappingA, CreateFileMappingW, CreateMutexA, CreateMutexW, GetSystemDirectoryA, GetSystemDirectoryW, GetWindowsDirectoryA, GetWindowsDirectoryW, GetDriveTypeW, FindFirstFileA, FindFirstFileW, GetEnvironmentVariableW, GetModuleHandleW, WriteConsoleA, CreateProcessA, CreateProcessW, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, DeleteFileA, DeleteFileW, LocalAlloc, FormatMessageA, FormatMessageW, GetCPInfo, WideCharToMultiByte, FindClose, GetFileSize, ReadFile, WriteFile, SetFileTime, MapViewOfFile, UnmapViewOfFile, DeviceIoControl, Sleep, AreFileApisANSI, GetOEMCP, GetACP, SleepEx, WaitForMultipleObjectsEx, ReleaseMutex, GetExitCodeProcess, WaitForSingleObject, SetEndOfFile, SetStdHandle, SetFilePointer, GetConsoleOutputCP, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, LCMapStringA, GetSystemTime, SystemTimeToFileTime, FreeLibrary, CloseHandle, LCMapStringW, MultiByteToWideChar, GetModuleHandleA, GetProcAddress, InterlockedDecrement, InterlockedIncrement, GetTickCount, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetEnvironmentVariableA, GetStdHandle, WriteConsoleW, VirtualFree, VirtualAlloc, GetLastError, GetCommandLineW, GetFileAttributesA, HeapSize, FlushFileBuffers, GetConsoleMode, HeapAlloc, HeapFree, RtlUnwind, HeapReAlloc, RaiseException, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapDestroy, HeapCreate, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP > USER32.dll: MessageBoxA, MessageBoxW > ADVAPI32.dll: RegCloseKey, QueryServiceStatus, ControlService, DeleteService, CloseServiceHandle, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegQueryValueExW, RegQueryValueExA, RegDeleteValueW, RegSetValueExW, RegSetValueExA, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegOpenKeyExA, RegCreateKeyExW, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, StartServiceW, ChangeServiceConfigW, QueryServiceConfigW, CreateServiceW, OpenServiceW, OpenSCManagerW, SetServiceStatus ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481</a> |
27.05.2009, 19:01 | #5 |
| Scheinbar schwerwiegender Virus/Wurm Ergebnis der Datei syssetup.dll: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.27 - AhnLab-V3 5.0.0.2 2009.05.27 - AntiVir 7.9.0.168 2009.05.27 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.27 - Avast 4.8.1335.0 2009.05.26 - AVG 8.5.0.339 2009.05.27 - BitDefender 7.2 2009.05.27 - CAT-QuickHeal 10.00 2009.05.27 - ClamAV 0.94.1 2009.05.27 - Comodo 1207 2009.05.27 - DrWeb 5.0.0.12182 2009.05.27 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6524 2009.05.27 - F-Prot 4.4.4.56 2009.05.27 - F-Secure 8.0.14470.0 2009.05.27 - Fortinet 3.117.0.0 2009.05.27 - GData 19 2009.05.27 - Ikarus T3.1.1.57.0 2009.05.27 - K7AntiVirus 7.10.746 2009.05.27 - Kaspersky 7.0.0.125 2009.05.27 - McAfee 5628 2009.05.27 - McAfee+Artemis 5628 2009.05.27 - McAfee-GW-Edition 6.7.6 2009.05.27 - Microsoft 1.4701 2009.05.27 - NOD32 4109 2009.05.27 - Norman 6.01.05 2009.05.27 - nProtect 2009.1.8.0 2009.05.27 - Panda 10.0.0.14 2009.05.27 - PCTools 4.4.2.0 2009.05.21 - Prevx 3.0 2009.05.27 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.27 - Sunbelt 3.2.1858.2 2009.05.27 - Symantec 1.4.4.12 2009.05.27 - TheHacker 6.3.4.3.332 2009.05.26 - TrendMicro 8.950.0.1092 2009.05.27 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.27.1757 2009.05.27 - VirusBuster 4.6.5.0 2009.05.27 - weitere Informationen File size: 1005056 bytes MD5...: 02e4d4c09a7ee5fe3c060a1a676707e2 SHA1..: 9ada47ec61e4614e80b75a40d475ceea3a6ebbcc SHA256: 24832370a709a3f4e6fa20ce03af1dba82a88dd2d12a91789811caf5f2e3204b ssdeep: 12288:R4GECHS+9cJPLnBnfeXZyw8IEyZsoSRIm2XFGyNqv0C9SSSUlfjNjOV:eG ECHS+9cJPLnFfeJHjZsoSRIcSsh4 PEiD..: - TrID..: File type identification Win64 Executable Generic (80.9%) Win32 Executable Generic (8.0%) Win32 Dynamic Link Library (generic) (7.1%) Generic Win/DOS Executable (1.8%) DOS Executable Generic (1.8%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x65c48 timedatestamp.....: 0x4802bfbf (Mon Apr 14 02:21:51 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7e68f 0x7e800 6.29 4615316cedce6e761432a1f97753f98f .data 0x80000 0xa57c 0x2c00 3.96 9322b327dd646665e4da8fa51702493f .rsrc 0x8b000 0x6c37c 0x6c400 5.60 0e27283b7b49df73abe46ec828405506 .reloc 0xf8000 0x799e 0x7a00 6.25 6237d8e9e3c1d0abb3ff5dc7004dff61 ( 16 imports ) > SETUPAPI.dll: pSetupAppendStringToMultiSz, pSetupSetNoDriverPrompts, SetupDiBuildClassInfoList, SetupDiGetClassDescriptionW, pSetupDiGetDeviceInfoContext, SetupGetFileQueueFlags, pSetupVerifyQueuedCatalogs, pSetupInfIsFromOemLocation, pSetupDiSetDeviceInfoContext, CMP_WaitNoPendingInstallEvents, SetupDiGetClassDevsExW, pSetupInfCacheBuild, SetupGetLineTextW, pSetupFree, CM_Open_Class_KeyW, SetupDiGetINFClassW, pSetupIsGuidNull, SetupDiClassGuidsFromNameW, pSetupQueryMultiSzValueToArray, pSetupSetArrayToMultiSzValue, SetupAddToSourceListW, SetupRemoveFromSourceListW, pSetupOutOfMemory, pSetupUnicodeToMultiByte, SetupInitDefaultQueueCallbackEx, SetupTermDefaultQueueCallback, SetupDefaultQueueCallbackW, pSetupStringFromGuid, pSetupRegistryDelnode, SetupInstallServicesFromInfSectionExW, pSetupInstallStopEx, SetupIterateCabinetW, pSetupGetRealSystemTime, pSetupOpenAndMapFileForRead, pSetupUnmapAndCloseFile, SetupScanFileQueueW, SetupPromptForDiskW, pSetupSetSystemSourcePath, SetupOpenAppendInfFileW, pSetupGetGlobalFlags, pSetupSetGlobalFlags, SetupQueueCopyW, SetupOpenFileQueue, SetupInstallFilesFromInfSectionW, SetupCommitFileQueueW, SetupCloseFileQueue, SetupGetInfInformationW, SetupGetSourceFileLocationW, SetupGetSourceInfoW, SetupDecompressOrCopyFileW, SetupQueryInfFileInformationW, pSetupGetFileTitle, pSetupVerifyFile, pSetupFreeStringArray, pSetupVerifyCatalogFile, pSetupGetCurrentDriverSigningPolicy, pSetupHandleFailedVerification, CM_Get_DevNode_Status, SetupDiCreateDeviceInfoW, SetupDiRegisterDeviceInfo, SetupDiDeleteDeviceInfo, CM_Get_Device_ID_ListW, CM_Get_Device_ID_List_SizeW, pSetupAcquireSCMLock, SetupGetLineCountW, SetupDiEnumDeviceInfo, SetupDiCreateDeviceInfoList, SetupDiGetDeviceInstanceIdW, SetupDiOpenDeviceInfoW, pSetupGetField, pSetupRetrieveServiceConfig, pSetupAddTagToGroupOrderListEntry, SetupGetFieldCount, SetupDiInstallDevice, SetupDiSetDeviceRegistryPropertyW, SetupInstallFromInfSectionW, SetupDiSelectBestCompatDrv, SetupFindNextMatchLineW, SetupOpenLog, SetupLogErrorW, SetupCloseLog, SetupDiSetSelectedDriverW, SetupDiEnumDriverInfoW, SetupDiGetDriverInstallParamsW, SetupDiSetDriverInstallParamsW, SetupDiCreateDevRegKeyW, SetupDiGetActualSectionToInstallW, SetupGetMultiSzFieldW, pSetupCenterWindowRelativeToParent, SetupGetIntField, SetupGetLineByIndexW, SetupDiGetClassDevsW, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailW, CM_Get_Parent, SetupDiDestroyDeviceInfoList, pSetupEnablePrivilege, pSetupStringTableInitialize, SetupDiCallClassInstaller, SetupDiDestroyDriverInfoList, SetupDiGetSelectedDriverW, pSetupGuidFromString, SetupDiOpenDevRegKey, SetupCopyOEMInfW, SetupDiBuildDriverInfoList, SetupDiOpenClassRegKey, SetupDiInstallClassW, SetupDiGetDriverInfoDetailW, pSetupStringTableAddString, pSetupStringTableInitializeEx, SetupCloseInfFile, pSetupStringTableLookUpString, pSetupStringTableGetExtraData, pSetupDuplicateString, pSetupStringTableAddStringEx, pSetupStringTableDestroy, SetupOpenInfFileW, pSetupRealloc, SetupDiGetClassInstallParamsW, SetupDiSetClassInstallParamsW, SetupDiGetDeviceInstallParamsW, SetupDiSetDeviceInstallParamsW, SetupDiGetDeviceInfoListDetailW, SetupDiLoadClassIcon, SetupDiGetDeviceRegistryPropertyW, SetupFindFirstLineW, SetupGetStringFieldW, pSetupConcatenatePaths, SetupFindNextLine, pSetupMalloc, pSetupInstallCatalog > ntdll.dll: NtOpenFile, NtSetSystemInformation, _strcmpi, RtlCopyUnicodeString, RtlEqualUnicodeString, RtlSubAuthorityCountSid, RtlLengthRequiredSid, RtlCopySid, RtlSubAuthoritySid, NtPowerInformation, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlCreateBootStatusDataFile, RtlUnlockBootStatusData, NtDeviceIoControlFile, DbgPrintEx, NtQuerySystemInformation, NtCreateFile, NtOpenKey, NtQueryValueKey, RtlIntegerToUnicodeString, RtlEqualSid, RtlNtStatusToDosError, VerSetConditionMask, NtQuerySystemEnvironmentValue, RtlInitializeSid, NtQuerySymbolicLinkObject, NtClose, RtlUnwind, NtOpenEvent, NtCreateEvent, RtlImageNtHeader, DbgBreakPoint, NtSetSystemEnvironmentValue, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlAppendUnicodeStringToString, RtlInitUnicodeString, NtOpenSymbolicLinkObject > GDI32.dll: SetTextColor, GetDeviceCaps, AddFontResourceW, GetStockObject, CreateFontIndirectW, SelectObject, StretchDIBits, CreateCompatibleDC, GetObjectW, SetBkColor, GetTextExtentPointW, BitBlt, DeleteDC, DeleteObject, SetStretchBltMode, SetBkMode, CreateDIBSection > KERNEL32.dll: GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, VirtualProtect, VirtualQuery, InterlockedExchange, VirtualAlloc, EnterCriticalSection, LeaveCriticalSection, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStrings, FreeEnvironmentStringsA, GetModuleFileNameA, DeleteCriticalSection, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TlsAlloc, TlsGetValue, TlsFree, GetModuleHandleA, HeapReAlloc, GetVersionExA, GetCommandLineA, TlsSetValue, lstrcpynA, LocalReAlloc, UnhandledExceptionFilter, GetCurrentProcessId, QueryPerformanceCounter, FindResourceW, LoadResource, LockResource, GetLogicalDriveStringsW, GlobalMemoryStatusEx, MoveFileW, lstrcpyA, lstrcmpiA, SetThreadLocale, TerminateThread, GetThreadLocale, SetThreadExecutionState, SetComputerNameExW, ExitProcess, GetLogicalDrives, IsDebuggerPresent, ExitThread, CreateEventW, CreateNamedPipeW, SetEvent, ConnectNamedPipe, DisconnectNamedPipe, GetACP, SearchPathW, GetSystemTime, OpenEventW, CopyFileA, DeleteFileA, GetSystemTimeAsFileTime, GetTickCount, LoadLibraryExW, LoadLibraryA, GlobalAlloc, GlobalFree, InitializeCriticalSection, SetUserGeoID, GetUserGeoID, EnumSystemGeoID, GetUserDefaultLCID, EnumSystemLocalesW, GetLocaleInfoW, IsValidLocale, DnsHostnameToComputerNameW, GetModuleHandleW, GetVersion, FreeLibraryAndExitThread, ReleaseMutex, CreateMutexW, lstrlenA, GetPrivateProfileIntW, GetGeoInfoW, GetOEMCP, WaitForSingleObjectEx, RemoveDirectoryW, GetStartupInfoW, GetTempPathW, CopyFileW, CreateFileMappingW, MapViewOfFile, MoveFileExW, GetModuleFileNameW, GetLocalTime, WideCharToMultiByte, OutputDebugStringW, SetUnhandledExceptionFilter, GetFullPathNameW, GetCurrentDirectoryW, SetCurrentDirectoryW, CreateActCtxW, SetEnvironmentVariableW, CreateDirectoryW, FindNextFileW, GetTempFileNameW, RaiseException, LocalSize, WritePrivateProfileStringW, GetSystemInfo, FormatMessageW, GetFileAttributesW, lstrcmpW, LocalAlloc, GetExitCodeThread, GetCPInfo, LocalFree, GetCurrentThreadId, CreateThread, SetTimeZoneInformation, Sleep, GetDriveTypeW, SetErrorMode, GetFileSize, SetFilePointer, ReadFile, MultiByteToWideChar, FlushFileBuffers, VerifyVersionInfoW, DuplicateHandle, ExpandEnvironmentStringsW, GetLocaleInfoA, CreateProcessW, WaitForSingleObject, GetWindowsDirectoryA, EnumSystemLocalesA, IsValidCodePage, SetStdHandle, CreateFileA, SetEndOfFile, lstrcmpA, GetFullPathNameA, CreateEventA, IsDBCSLeadByte, FormatMessageA, CompareStringW, UnmapViewOfFile, _lwrite, _lcreat, SetFileAttributesA, _lclose, _lread, _llseek, _lopen, GetCurrentThread, SetThreadAffinityMask, GetProcessAffinityMask, GetCurrentProcess, InterlockedIncrement, GetProcAddress, LoadLibraryW, GetPrivateProfileStringW, FreeLibrary, DeleteFileW, SetFileAttributesW, GetWindowsDirectoryW, HeapFree, HeapAlloc, GetProcessHeap, lstrcatW, FindClose, FindFirstFileW, QueryDosDeviceW, CloseHandle, GetLastError, DeviceIoControl, CreateFileW, lstrlenW, GetVolumeInformationW, GetSystemDirectoryW, lstrcpyW, lstrcpynW, GetSystemWindowsDirectoryW, lstrcmpiW, SetLastError, GetDiskFreeSpaceW, GetTimeZoneInformation, GetVersionExW, GetEnvironmentVariableW, GetComputerNameW, WriteFile, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetExitCodeProcess, TerminateProcess > POWRPROF.dll: SetActivePwrScheme > USER32.dll: CharToOemA, GetSysColorBrush, wsprintfA, IsDlgButtonChecked, SendMessageW, SetWindowLongW, CheckRadioButton, PostMessageW, GetParent, EnableWindow, GetDlgItem, CheckDlgButton, LoadStringW, SetDlgItemTextW, DestroyIcon, SendDlgItemMessageW, WinHelpW, wsprintfW, CharLowerW, EndDialog, LoadBitmapW, LoadCursorW, PostThreadMessageW, ShowCursor, SetCursor, DialogBoxParamW, IsWindow, SetFocus, SetTimer, KillTimer, DispatchMessageW, GetMessageW, CharUpperBuffW, GetWindowLongW, LoadIconW, MessageBoxW, CharUpperW, EndPaint, GetClientRect, GetSysColor, DrawTextW, GetSystemMetrics, BeginPaint, DefWindowProcW, UnregisterClassW, RegisterClassW, MsgWaitForMultipleObjects, SetForegroundWindow, SetWindowTextW, ReleaseDC, GetDC, LoadImageW, PostQuitMessage, DestroyWindow, RegisterHotKey, SetShellWindow, ShowWindow, CreateWindowExW, PeekMessageW, WaitMessage, GetKeyboardLayout, GetDlgItemTextW, wvsprintfW, ChangeDisplaySettingsW, EnumDisplaySettingsW, CallWindowProcW, GetDlgCtrlID, UpdateWindow, InvalidateRect, CharUpperA, SendMessageTimeoutW, wvsprintfA, MoveWindow, ClientToScreen, GetWindowRect, GetDesktopWindow, GetAsyncKeyState, GetActiveWindow, FillRect, SetActiveWindow, SetWindowPos, EnableMenuItem, GetSystemMenu, MessageBoxA > VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW > sfc.dll: - > sfcfiles.dll: SfcGetFiles > SHLWAPI.dll: SHDeleteKeyW, StrCmpNIW, StrTrimW, wvnsprintfW > CRYPTUI.dll: I_CryptUIProtect > NETAPI32.dll: NetApiBufferFree, NetGetJoinInformation, NetUserSetInfo, NetUserGetInfo, NetpNtStatusToApiStatus > RPCRT4.dll: UuidToStringW, UuidFromStringW, UuidCreate, RpcBindingFromStringBindingW, RpcStringBindingComposeW, RpcBindingFree, NdrClientCall2, RpcStringFreeW > urlmon.dll: CoInternetParseUrl > IMM32.dll: ImmAssociateContext > WINTRUST.dll: CryptCATClose, CryptCATEnumerateCatAttr, CryptCATAdminAcquireContext, CryptCATAdminRemoveCatalog, CryptCATAdminReleaseContext, IsCatalogFile, CryptCATOpen ( 88 exports ) AsrAddSifEntryA, AsrAddSifEntryW, AsrCreateStateFileA, AsrCreateStateFileW, AsrFreeContext, AsrRestorePlugPlayRegistryData, AsrpGetLocalDiskInfo, AsrpGetLocalVolumeInfo, AsrpRestoreNonCriticalDisksW, CdromPropPageProvider, ComputerClassInstaller, CreateLocalAdminAccount, CreateLocalAdminAccountEx, CreateLocalUserAccount, CriticalDeviceCoInstaller, DevInstallW, DeviceBayClassInstaller, DiskPropPageProvider, DoInstallComponentInfs, EisaUpHalCoInstaller, EisaUpHalPropPageProvider, GenerateName, HdcClassInstaller, InitializeSetupLog, InstallWindowsNt, InvokeExternalApplicationEx, KeyboardClassInstaller, LegacyDriverPropPageProvider, MigrateExceptionPackages, MouseClassInstaller, NtApmClassInstaller, OpkCheckVersion, PS2MousePropPageProvider, PnPInitializationThread, PrepareForAudit, RepairStartMenuItems, ReportError, RunOEMExtraTasks, ScsiClassInstaller, SetAccountsDomainSid, SetupAddOrRemoveTestCertificate, SetupChangeFontSize, SetupChangeLocale, SetupChangeLocaleEx, SetupCreateOptionalComponentsPage, SetupDestroyLanguageList, SetupDestroyPhoneList, SetupEnumerateRegisteredOsComponents, SetupExtendPartition, SetupGetGeoOptions, SetupGetKeyboardOptions, SetupGetLocaleOptions, SetupGetProductType, SetupGetSetupInfo, SetupGetValidEula, SetupInfObjectInstallActionW, SetupInstallCatalog, SetupIsPnpRebootRequired, SetupMapTapiToIso, SetupOobeBnk, SetupOobeCleanup, SetupOobeInitDebugLog, SetupOobeInitPostServices, SetupOobeInitPreServices, SetupPidGen3, SetupQueryRegisteredOsComponent, SetupQueryRegisteredOsComponentsOrder, SetupReadPhoneList, SetupRegisterOsComponent, SetupSetAdminPassword, SetupSetDisplay, SetupSetIntlOptions, SetupSetRegisteredOsComponentsOrder, SetupSetSetupInfo, SetupShellSettings, SetupStartService, SetupUnRegisterOsComponent, StorageCoInstaller, SystemUpdateUserProfileDirectory, TapeClassInstaller, TapePropPageProvider, TerminateSetupLog, UpdatePnpDeviceDrivers, UpgradePrinters, ViewSetupActionLog, VolumeClassInstaller, pSetupDebugPrint, pSetuplogSfcError PDFiD.: - RDS...: NSRL Reference Data Set - |
27.05.2009, 19:35 | #6 |
| Scheinbar schwerwiegender Virus/Wurm Hier nun das Combofix-Log: (Einen Großteil des Logs machten die gesperrten Registrierungsschlüssel aus, in denen ausschließlich Daten eines Computerspiels (Football Manager 2008, FM Scout 2008) enthalten waren. Da der Post sonst zu lang wäre, habe ich diese Zeilen vorerst entfernt.) Code:
ATTFilter ComboFix 09-05-26.05 - XXX 27.05.2009 20:05.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1505 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\fmoys.vlx . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BOONTY_GAMES -------\Service_Boonty Games ((((((((((((((((((((((( Dateien erstellt von 2009-04-27 bis 2009-05-27 )))))))))))))))))))))))))))))) . 2009-05-26 16:47 . 2009-05-26 16:47 -------- d-----w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes 2009-05-26 16:47 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-05-26 16:47 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-05-26 16:47 . 2009-05-26 16:47 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-25 18:33 . 2009-05-25 18:33 -------- d-----w c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Nero 2009-05-19 22:17 . 2009-05-19 22:17 10134 ----a-r c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-05-19 22:17 . 2009-05-19 22:17 -------- d-----w c:\programme\Microsoft WSE 2009-05-12 11:43 . 2009-05-08 09:13 3399960 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avgui.exe 2009-05-12 11:43 . 2009-05-08 09:13 2302232 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avguiadv.dll 2009-05-04 16:10 . 2009-05-04 13:07 2298680 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll 2009-05-04 16:10 . 2006-10-16 16:44 196608 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\ssleay32.dll 2009-05-04 16:10 . 2008-03-04 16:52 286720 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\libcurl.dll 2009-05-04 16:10 . 2007-10-31 07:39 59904 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\zlib1.dll 2009-05-04 16:10 . 2007-05-17 11:58 143360 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\libexpatw.dll 2009-05-04 16:10 . 2006-10-18 15:32 499712 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\msvcp71.dll 2009-05-04 16:10 . 2006-10-18 15:32 348160 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\msvcr71.dll 2009-05-04 16:10 . 2006-10-16 16:44 1028096 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\libeay32.dll 2009-05-03 10:58 . 1999-03-23 06:12 304128 ----a-w c:\windows\unin0407.exe 2009-05-03 10:58 . 2009-05-03 10:58 -------- d-----w c:\dokumente und einstellungen\XXX\WINDOWS . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-27 18:23 . 2008-02-15 10:33 -------- d-----w c:\programme\Mozilla Thunderbird 2009-05-27 15:32 . 2008-02-20 09:14 -------- d-----w c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2 2009-05-27 15:29 . 2008-02-20 09:15 1 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-05-27 15:29 . 2008-02-18 10:12 -------- d-----w c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0 2009-05-24 21:31 . 2008-02-15 10:53 -------- d-----w c:\dokumente und einstellungen\XXX\Anwendungsdaten\foobar2000 2009-05-19 22:11 . 2008-02-15 09:38 -------- d--h--w c:\programme\InstallShield Installation Information 2009-05-19 21:49 . 2009-01-30 13:12 11952 ----a-w c:\windows\system32\avgrsstx.dll 2009-05-08 09:13 . 2009-01-30 13:12 108552 ----a-w c:\windows\system32\drivers\avgtdix.sys 2009-05-05 19:56 . 2008-07-04 04:18 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-04-09 07:26 . 2001-08-18 14:00 82966 ----a-w c:\windows\system32\perfc007.dat 2009-04-09 07:26 . 2001-08-18 14:00 453106 ----a-w c:\windows\system32\perfh007.dat 2009-04-08 12:48 . 2009-01-20 11:25 -------- d-----w c:\dokumente und einstellungen\XXX\Anwendungsdaten\uTorrent 2009-04-08 12:12 . 2008-11-02 13:09 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sports Interactive 2009-03-29 18:49 . 2008-02-18 05:39 46000 ----a-w c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-03-25 23:33 . 2009-02-11 20:01 700 ----a-w c:\windows\eReg.dat 2009-03-24 22:12 . 2009-03-24 22:12 304528 ----a-w c:\windows\system32\appdrvrem01.exe 2009-03-24 22:12 . 2009-03-24 22:12 2915944 ----a-w c:\windows\system32\drivers\appdrv01.sys 2009-02-26 20:39 . 2009-02-26 20:40 682520 ----a-w c:\dokumente und einstellungen\XXX\Anwendungsdaten\Deluxe Ski Jump 3 Patch\UNIST\unins000.exe 2008-07-23 21:38 . 2008-02-14 21:16 67696 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2008-07-23 21:38 . 2008-02-14 21:16 54376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2008-07-23 21:38 . 2008-02-14 21:16 34952 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2008-07-23 21:38 . 2008-02-14 21:16 46720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2008-07-23 21:38 . 2008-02-14 21:16 172144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "DAEMON Tools Lite"="d:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTSysVol"="d:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344] "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112] "JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864] "36X Raid Configurer"="c:\windows\system32\JMRaidSetup.exe" [2007-02-06 1953792] "Gainward"="c:\windows\TBPanel.exe" [2007-03-23 2173744] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640] "Thunderbird"="c:\programme\Mozilla Thunderbird\thunderbird.exe" [2009-03-19 8500328] "WheelMouse"="d:\programme\OCZ Technology\Mouse\Amoumain.exe" [2006-12-28 196608] "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-08 1947928] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-08 136600] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016] "P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-02-18 1657376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nlsf"="move" [X] "nlhr"="c:\windows\System32\AdvPack.Dll" [2008-04-14 102400] "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter] 2009-05-19 21:49 11952 ----a-w c:\windows\system32\avgrsstx.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0oodbs [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Nero BackItUp Scheduler 3"=2 (0x2) "TuneUp.Defrag"=3 (0x3) "Boonty Games"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\TVAnts\\Tvants.exe"= "d:\\Programme\\SopCast\\SopCast.exe"= "d:\\Programme\\SopCast\\adv\\SopAdver.exe"= "d:\\Programme\\TVUPlayer\\TVUPlayer.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "d:\\Programme\\SopCast\\sopvod.exe"= "c:\\Programme\\Cyanide\\GameCenter\\GameCenter.exe"= "d:\\Programme\\VideoLAN\\VLC\\vlc.exe"= "d:\\Programme\\mIRC\\mirc.exe"= "c:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"= "d:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "d:\\Programme\\Free Download Manager\\fdm.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"= "d:\\Programme\\SFT Loader\\leecher.exe"= "d:\\Programme\\XDCC Downloader\\ircload.exe"= "d:\\Programme\\WS_FTP\\WS_FTP95.exe"= "d:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"= "d:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "d:\\Programme\\uTorrent\\uTorrent.exe"= "d:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"= "d:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\AVG\\AVG8\\avgemc.exe"= "c:\\Programme\\AVG\\AVG8\\avgupd.exe"= "c:\\Programme\\AVG\\AVG8\\avgnsx.exe"= "d:\\Programme\\Steam\\steamapps\\common\\empire total war\\Empire.exe"= "d:\\Programme\\Cyanide\\Tour de France - Saison 2008\\PCM.exe"= "d:\\Programme\\Cyanide\\Tour de France - Saison 2008\\Autorun\\Exe\\Autorun.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "d:\\Programme\\Sports Interactive\\Football Manager 2009\\fm.exe"= "c:\\Programme\\AVG\\AVG8\\avgui.exe"= "c:\\Programme\\AVG\\AVG8\\avgtray.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R1 appdrv01;Application Driver (01);c:\windows\system32\drivers\appdrv01.sys [25.03.2009 00:12 2915944] R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [30.01.2009 15:12 325896] R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [30.01.2009 15:12 108552] R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [30.01.2009 15:12 908568] R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [30.01.2009 15:12 298776] S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc --> c:\windows\System32\appdrvrem01.exe svc [?] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [05.07.2008 05:52 13352] S3 krait03;Razer krait USB Filter Driver;c:\windows\system32\drivers\krait.sys [18.05.2008 02:41 13324] S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [03.04.2008 06:25 83208] S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [03.04.2008 06:25 15112] S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [03.04.2008 06:25 108680] S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [03.04.2008 06:26 100488] S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [03.04.2008 06:26 98568] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-05-27 c:\windows\Tasks\1-Klick-Wartung.job - d:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-02 05:22] . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-procexp90.Sys . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = local IE: &Download by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/201 IE: &Grab video by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/204 IE: Alles mit FDM herunterladen - file://d:\programme\Free Download Manager\dlall.htm IE: Auswahl mit FDM herunterladen - file://d:\programme\Free Download Manager\dlselected.htm IE: Datei mit FDM herunterladen - file://d:\programme\Free Download Manager\dllink.htm IE: Do&wnload selected by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/203 IE: Down&load all by Orbit - d:\programme\Orbitdownloader\orbitmxt.dll/202 IE: Link to &MidpX - d:\programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm IE: Videos mit FDM herunterladen - file://d:\programme\Free Download Manager\dlfvideo.htm TCP: {E7EDCDE7-2DAE-4A3C-9C72-0DF2C35F229C} = 192.168.2.1 FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - hxxp://www.jappy.de/user/dominat0r FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll FF - component: d:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll FF - plugin: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll FF - plugin: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\62me20j9.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07076007.dll FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: d:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll ---- FIREFOX Richtlinien ---- FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.01.01 FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-27 20:22 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-484763869-1364589140-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:a2,5e,c2,3e,b7,93,82,d0,e1,55,11,ae,12,ef,cf,81,09,b9,c1,75,8d, 89,9a,af,ad,c6,d2,af,6b,86,9b,fc,88,27,3e,b9,93,44,c9,ec,46,88,46,cf,94,52,\ "rkeysecu"=hex:4a,43,ed,21,1e,c9,96,b1,0b,6d,ad,aa,ab,2f,bb,be [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG10.00.00.01WORKSTATION"="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" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(776) c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll - - - - - - - > 'explorer.exe'(1708) c:\windows\system32\Amhooker.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . d:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe c:\programme\Bonjour\mDNSResponder.exe c:\windows\system32\CTSVCCDA.EXE d:\programme\FolderSize\FolderSizeSvc.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\oodag.exe c:\windows\system32\IoctlSvc.exe c:\programme\AVG\AVG8\avgrsx.exe c:\progra~1\AVG\AVG8\avgnsx.exe c:\programme\AVG\AVG8\avgcsrvx.exe c:\programme\AVG\AVG8\avgcsrvx.exe c:\windows\system32\wscntfy.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\programme\Windows Live\Messenger\usnsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-05-27 20:25 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-27 18:25 Vor Suchlauf: 1.379.942.400 Bytes frei Nach Suchlauf: 1.289.105.408 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 1771 |
27.05.2009, 19:38 | #7 |
| Scheinbar schwerwiegender Virus/Wurm Sorry für diesen Vierfach-Post, aber es ging nicht anders. Zunächst mal: Wow, tatsächlich updated AVG jetzt wieder und es scheint wesentlich besser zu laufen. Tausend Dank schonmal soweit, toll, was ihr hier leistet! Zu MAM: Richtig, es lief in dieser alten Version zwar, fand aber nichts. Für mögliche weitere Schritte etc. warte ich zunächst mal dein/euer Feedback ab. |
28.05.2009, 07:26 | #8 |
| Scheinbar schwerwiegender Virus/Wurm Hi, nur noch einige Sachen zum überprüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\CTSVCCDA.EXE (gibt es eigentlich nur bis win98/Me... für CD-Laufwerke...?) c:\windows\system32\drivers\appdrv01.sys c:\windows\System32\appdrvrem01.exe c:\windows\JM\JMInsIDE.exe c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
Dann bitte MAM updaten und Komplettscan und alles bereinigen lassen, Log posten! chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
28.05.2009, 11:41 | #9 |
| Scheinbar schwerwiegender Virus/Wurm Ergebnis der CTSVCCDA.EXE: Code:
ATTFilter Datei CTSVCCDA.EXE empfangen 2009.05.28 10:38:05 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.28 - AhnLab-V3 5.0.0.2 2009.05.28 - AntiVir 7.9.0.180 2009.05.28 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.28 - Avast 4.8.1335.0 2009.05.27 - AVG 8.5.0.339 2009.05.27 - BitDefender 7.2 2009.05.28 - CAT-QuickHeal 10.00 2009.05.28 - ClamAV 0.94.1 2009.05.28 - Comodo 1210 2009.05.28 - DrWeb 5.0.0.12182 2009.05.28 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6526 2009.05.28 - F-Prot 4.4.4.56 2009.05.28 - F-Secure 8.0.14470.0 2009.05.28 - Fortinet 3.117.0.0 2009.05.28 - GData 19 2009.05.28 - Ikarus T3.1.1.57.0 2009.05.28 - K7AntiVirus 7.10.746 2009.05.27 - Kaspersky 7.0.0.125 2009.05.28 - McAfee 5628 2009.05.27 - McAfee+Artemis 5628 2009.05.27 - McAfee-GW-Edition 6.7.6 2009.05.28 - Microsoft 1.4701 2009.05.28 - NOD32 4111 2009.05.28 - Norman 6.01.05 2009.05.28 - nProtect 2009.1.8.0 2009.05.28 - Panda 10.0.0.14 2009.05.28 - PCTools 4.4.2.0 2009.05.21 - Prevx 3.0 2009.05.28 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.28 - Sunbelt 3.2.1858.2 2009.05.28 - Symantec 1.4.4.12 2009.05.28 - TheHacker 6.3.4.3.333 2009.05.28 - TrendMicro 8.950.0.1092 2009.05.28 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.28.1758 2009.05.28 - VirusBuster 4.6.5.0 2009.05.27 - weitere Informationen File size: 44032 bytes MD5...: 3c8b6609712f4ff78e521f6dcfc4032b SHA1..: 029cfb83a28a3f04ade5d7c91b3aec43188501e2 SHA256: dfcfd5f2d35dda25dd91b4d732bdf84d1526ab11084e22523d51abb2a8608402 SHA512: 3939a227aa8d680722c33fba6c5045664091b217473d1ab51b9eff36f7a8f26e 2e9c539159ab7b52897ed66200abe96af3f60195c33b190ab481c65bfe71f5a5 ssdeep: 768:Wu81s20EkCFVfmnMmuyJEhZyd3/Blg20cEibts:v81SEkCDfwhuSEhZyRBlm cEibK PEiD..: InstallShield 2000 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2800 timedatestamp.....: 0x3854d9ee (Mon Dec 13 11:35:10 1999) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x63e5 0x6400 6.43 5a289b392705b702f14b2f2003e96cb8 .rdata 0x8000 0xd9c 0xe00 5.33 4fe2e61d72e4f4e3bf9db19b7c1786e9 .data 0x9000 0x4448 0x3000 1.53 67e3e8ef2a303a7158a909d015e2d2be .rsrc 0xe000 0x590 0x600 3.59 f19a277e40894eafdeeee243b40e341c ( 3 imports ) > KERNEL32.dll: GetCurrentThreadId, SetEvent, Sleep, ResetEvent, GetModuleFileNameA, CreateEventA, GetDriveTypeA, WaitForSingleObject, GetLastError, LocalFree, GetFileType, GetStartupInfoA, LocalAlloc, RtlUnwind, GetCommandLineA, GetVersion, ExitProcess, HeapFree, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetStdHandle, IsBadCodePtr, LCMapStringA, HeapDestroy, HeapCreate, VirtualFree, WriteFile, HeapAlloc, VirtualAlloc, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, GetProcAddress, GetStringTypeW, LCMapStringW, SetFilePointer, GetStringTypeA, SetStdHandle, CloseHandle, LoadLibraryA, FlushFileBuffers > USER32.dll: wsprintfA > ADVAPI32.dll: GetLengthSid, GetAclInformation, StartServiceCtrlDispatcherA, RegisterEventSourceA, ReportEventA, DeleteService, CreateServiceA, RegCreateKeyA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, SetServiceStatus, RegisterServiceCtrlHandlerA, SetFileSecurityA, SetSecurityDescriptorDacl, AddAccessAllowedAce, AddAce, GetAce, InitializeAcl, RegCreateKeyExA, DeregisterEventSource, GetSecurityDescriptorDacl, InitializeSecurityDescriptor, GetFileSecurityA, LookupAccountNameA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set ( Creative Technologies Ltd. ) > Sound Blaster Sound Blaster Audigy 2: CTSVCCDA.EXE ( Gateway ) > Gateway Sound Blaster Audigy Sound Card Driver and Applications: CTSVCCDA.EXE ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3c8b6609712f4ff78e521f6dcfc4032b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3c8b6609712f4ff78e521f6dcfc4032b</a> |
28.05.2009, 11:45 | #10 |
| Scheinbar schwerwiegender Virus/Wurm Ergebnis der appdrv01.sys: Code:
ATTFilter Datei appdrv01.sys empfangen 2009.05.28 10:41:25 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/39 (2.57%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.28 - AhnLab-V3 5.0.0.2 2009.05.28 - AntiVir 7.9.0.180 2009.05.28 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.28 - Avast 4.8.1335.0 2009.05.27 - AVG 8.5.0.339 2009.05.27 - BitDefender 7.2 2009.05.28 - CAT-QuickHeal 10.00 2009.05.28 - ClamAV 0.94.1 2009.05.28 - Comodo 1210 2009.05.28 - DrWeb 5.0.0.12182 2009.05.28 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6526 2009.05.28 - F-Prot 4.4.4.56 2009.05.28 - F-Secure 8.0.14470.0 2009.05.28 - Fortinet 3.117.0.0 2009.05.28 - GData 19 2009.05.28 - Ikarus T3.1.1.57.0 2009.05.28 - K7AntiVirus 7.10.746 2009.05.27 - Kaspersky 7.0.0.125 2009.05.28 - McAfee 5628 2009.05.27 - McAfee+Artemis 5628 2009.05.27 - McAfee-GW-Edition 6.7.6 2009.05.28 Win32.Malware.gen!84 (suspicious) Microsoft 1.4701 2009.05.28 - NOD32 4111 2009.05.28 - Norman 6.01.05 2009.05.28 - nProtect 2009.1.8.0 2009.05.28 - Panda 10.0.0.14 2009.05.28 - Prevx 3.0 2009.05.28 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.28 - Sunbelt 3.2.1858.2 2009.05.28 - Symantec 1.4.4.12 2009.05.28 - TheHacker 6.3.4.3.333 2009.05.28 - TrendMicro 8.950.0.1092 2009.05.28 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.28.1758 2009.05.28 - VirusBuster 4.6.5.0 2009.05.27 - weitere Informationen File size: 2915944 bytes MD5...: fec0c3f9b39c5d17ec3442f244ec0474 SHA1..: ccc1f8e8f6b9ca17b6ee980160f1fcd02853ce80 SHA256: 9fae0ad7eb5a4bd4ff2450d648c1ee7c928fefd22f85dadba77652e2c9781f1d ssdeep: 49152:d2JKmrNWuqD8vu6pvZV6764KTNOKHoTDSSy+oue4D7LYII/EGxNnG:IKg9 LvuC5XMKHvcE4XFEG PEiD..: - TrID..: File type identification Win64 Executable Generic (87.2%) Win32 Executable Generic (8.6%) Generic Win/DOS Executable (2.0%) DOS Executable Generic (2.0%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2c6083 timedatestamp.....: 0x4868942a (Mon Jun 30 08:07:06 2008) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x101e 0x1200 5.96 b5d598a96b4b6abae6e0647886c2b98a .rdata 0x3000 0x394 0x400 4.19 c146beea6b19f9e749b429278b486d63 .data 0x4000 0x444 0x200 0.41 e32a26022546d3ebf741de56ddd8f2ad PAGECORE 0x5000 0x2a4f00 0x2a5000 6.96 9fc8c44601204cee14c3719111960847 PAGE 0x2aa000 0x4e10 0x5000 6.27 84fb0bcc922b77ab7799de667ea1b25c PAGEFS 0x2af000 0x15680 0x15800 6.65 617e2926aa3dee2cbbf0d2966f3ccd1a INIT 0x2c5000 0x24d2 0x2600 5.55 7aef0a42d6983fd55fad1be55e517207 .rsrc 0x2c8000 0x580 0x600 3.19 2d8e11b798104153acd09d6b5023141d .reloc 0x2c9000 0x226c 0x2400 1.49 2dfbb513034b7de28bd8900051d1f4aa ( 2 imports ) > HAL.dll: KfLowerIrql, KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock > ntoskrnl.exe: MmGetSystemRoutineAddress, PsGetVersion, ExRaiseAccessViolation, MmUserProbeAddress, ExRaiseDatatypeMisalignment, ExAllocatePoolWithTag, ExFreePoolWithTag, memset, memcpy, RtlUpperChar, RtlUpcaseUnicodeChar, RtlAnsiStringToUnicodeString, RtlxAnsiStringToUnicodeSize, NlsMbOemCodePageTag, ZwClose, ObfDereferenceObject, ObReferenceObjectByHandle, ExEventObjectType, ZwCreateEvent, KeInitializeEvent, KeWaitForSingleObject, KeSetEvent, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwCreateFile, ZwQueryInformationFile, ZwReadFile, ZwWriteFile, ZwDeleteFile, ZwCreateKey, ZwOpenKey, ZwFlushKey, ZwEnumerateKey, ZwDeleteKey, ZwSetValueKey, ZwDeleteValueKey, ZwQueryValueKey, RtlQueryRegistryValues, ExReleaseFastMutexUnsafe, ExAcquireFastMutexUnsafe, ZwQuerySystemInformation, MmSystemRangeStart, IofCallDriver, IoBuildDeviceIoControlRequest, KeDelayExecutionThread, _allmul, IoFreeWorkItem, KeCancelTimer, KeSetTimer, KeClearEvent, IoQueueWorkItem, IoAllocateWorkItem, KeInitializeDpc, KeInitializeTimer, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, KeGetCurrentThread, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, IoGetDeviceObjectPointer, MmProbeAndLockPages, MmLockPagableDataSection, MmUnlockPagableImageSection, ExInterlockedPopEntrySList, ExInterlockedPushEntrySList, ExDeleteNPagedLookasideList, ExInitializeNPagedLookasideList, KeUnstackDetachProcess, KeStackAttachProcess, IoReleaseCancelSpinLock, IoGetCurrentProcess, ObfReferenceObject, ZwLoadDriver, RtlUnwind, KeTickCount, KeBugCheckEx ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - packers (F-Prot): embedded |
28.05.2009, 12:07 | #11 |
| Scheinbar schwerwiegender Virus/Wurm Ergebnis von appdrvrem01.exe: Code:
ATTFilter Datei appdrvrem01.exe empfangen 2009.05.28 10:46:26 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.28 - AhnLab-V3 5.0.0.2 2009.05.28 - AntiVir 7.9.0.180 2009.05.28 - Authentium 5.1.2.4 2009.05.28 - Avast 4.8.1335.0 2009.05.27 - AVG 8.5.0.339 2009.05.27 - CAT-QuickHeal 10.00 2009.05.28 - ClamAV 0.94.1 2009.05.28 - Comodo 1210 2009.05.28 - eTrust-Vet 31.6.6526 2009.05.28 - F-Prot 4.4.4.56 2009.05.28 - Fortinet 3.117.0.0 2009.05.28 - GData 19 2009.05.28 - Ikarus T3.1.1.57.0 2009.05.28 - K7AntiVirus 7.10.746 2009.05.27 - Kaspersky 7.0.0.125 2009.05.28 - McAfee 5628 2009.05.27 - McAfee+Artemis 5628 2009.05.27 - McAfee-GW-Edition 6.7.6 2009.05.28 - Microsoft 1.4701 2009.05.28 - Norman 6.01.05 2009.05.28 - nProtect 2009.1.8.0 2009.05.28 - Panda 10.0.0.14 2009.05.28 - PCTools 4.4.2.0 2009.05.21 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.28 - Sunbelt 3.2.1858.2 2009.05.28 - Symantec 1.4.4.12 2009.05.28 - TrendMicro 8.950.0.1092 2009.05.28 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.28.1758 2009.05.28 - VirusBuster 4.6.5.0 2009.05.27 - weitere Informationen File size: 304528 bytes MD5...: 3f56e9e6f01d014a70718f3986566481 SHA1..: 09f6b561551b92ff498dec8633ee6ccc0daffa07 SHA256: b9c39e3b3b2ac52dd890c89a3ab06e2a812ea4d7b291145f776bb8a35d4cb0a5 ssdeep: 6144:JrE1282PtIvOZEBxMAluxEqozvN7JEN8kmBxY1VJheO+BH/tniZ+bvT/jGb nPtF0:JI0Jd+BlqL+qxu PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x14842 timedatestamp.....: 0x48689439 (Mon Jun 30 08:07:21 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2b903 0x2c000 6.56 5eb91fbfae17dd2f7681a11dd859c50e .rdata 0x2d000 0x1634c 0x17000 4.76 ea3abc23bd474e07e5bcc8be7cfd082a .data 0x44000 0x5d94 0x4000 4.69 2ec59dce875d2fcb69a76efe0b6d29bc .rsrc 0x4a000 0x4c8 0x1000 1.29 d80ef2b75cfd1159071bc82f77ddb834 ( 4 imports ) > VERSION.dll: GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoSizeW > KERNEL32.dll: GetCurrentProcess, LoadLibraryW, LocalFree, SetLastError, GetFullPathNameW, QueryDosDeviceW, GetVersionExA, GetVersionExW, LoadLibraryA, CreateFileA, CreateFileW, GetModuleFileNameA, CreateFileMappingA, CreateFileMappingW, CreateMutexA, CreateMutexW, GetSystemDirectoryA, GetSystemDirectoryW, GetWindowsDirectoryA, GetWindowsDirectoryW, GetDriveTypeW, FindFirstFileA, FindFirstFileW, GetEnvironmentVariableW, GetModuleHandleW, WriteConsoleA, CreateProcessA, CreateProcessW, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, DeleteFileA, DeleteFileW, LocalAlloc, FormatMessageA, FormatMessageW, GetCPInfo, WideCharToMultiByte, FindClose, GetFileSize, ReadFile, WriteFile, SetFileTime, MapViewOfFile, UnmapViewOfFile, DeviceIoControl, Sleep, AreFileApisANSI, GetOEMCP, GetACP, SleepEx, WaitForMultipleObjectsEx, ReleaseMutex, GetExitCodeProcess, WaitForSingleObject, SetEndOfFile, SetStdHandle, SetFilePointer, GetConsoleOutputCP, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, LCMapStringA, GetSystemTime, SystemTimeToFileTime, FreeLibrary, CloseHandle, LCMapStringW, MultiByteToWideChar, GetModuleHandleA, GetProcAddress, InterlockedDecrement, InterlockedIncrement, GetTickCount, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetEnvironmentVariableA, GetStdHandle, WriteConsoleW, VirtualFree, VirtualAlloc, GetLastError, GetCommandLineW, GetFileAttributesA, HeapSize, FlushFileBuffers, GetConsoleMode, HeapAlloc, HeapFree, RtlUnwind, HeapReAlloc, RaiseException, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapDestroy, HeapCreate, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP > USER32.dll: MessageBoxA, MessageBoxW > ADVAPI32.dll: RegCloseKey, QueryServiceStatus, ControlService, DeleteService, CloseServiceHandle, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegQueryValueExW, RegQueryValueExA, RegDeleteValueW, RegSetValueExW, RegSetValueExA, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegOpenKeyExA, RegCreateKeyExW, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, StartServiceW, ChangeServiceConfigW, QueryServiceConfigW, CreateServiceW, OpenServiceW, OpenSCManagerW, SetServiceStatus ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3f56e9e6f01d014a70718f3986566481</a> CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3f56e9e6f01d014a70718f3986566481' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3f56e9e6f01d014a70718f3986566481</a> |
28.05.2009, 12:11 | #12 |
| Scheinbar schwerwiegender Virus/Wurm Ergebnis von JMInsIDE.exe: Code:
ATTFilter Datei JMInsIDE.exe empfangen 2009.05.28 11:08:23 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.28 - AhnLab-V3 5.0.0.2 2009.05.28 - AntiVir 7.9.0.180 2009.05.28 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.28 - Avast 4.8.1335.0 2009.05.27 - AVG 8.5.0.339 2009.05.27 - BitDefender 7.2 2009.05.28 - CAT-QuickHeal 10.00 2009.05.28 - ClamAV 0.94.1 2009.05.28 - Comodo 1210 2009.05.28 - DrWeb 5.0.0.12182 2009.05.28 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6526 2009.05.28 - F-Prot 4.4.4.56 2009.05.28 - F-Secure 8.0.14470.0 2009.05.28 - Fortinet 3.117.0.0 2009.05.28 - GData 19 2009.05.28 - Ikarus T3.1.1.57.0 2009.05.28 - K7AntiVirus 7.10.746 2009.05.27 - Kaspersky 7.0.0.125 2009.05.28 - McAfee 5628 2009.05.27 - McAfee+Artemis 5628 2009.05.27 - McAfee-GW-Edition 6.7.6 2009.05.28 - Microsoft 1.4701 2009.05.28 - NOD32 4111 2009.05.28 - Norman 6.01.05 2009.05.28 - nProtect 2009.1.8.0 2009.05.28 - Panda 10.0.0.14 2009.05.28 - PCTools 4.4.2.0 2009.05.21 - Prevx 3.0 2009.05.28 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.28 - Sunbelt 3.2.1858.2 2009.05.28 - Symantec 1.4.4.12 2009.05.28 - TheHacker 6.3.4.3.333 2009.05.28 - TrendMicro 8.950.0.1092 2009.05.28 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.28.1758 2009.05.28 - VirusBuster 4.6.5.0 2009.05.27 - weitere Informationen File size: 36864 bytes MD5...: 47bba427e91cbb98e41a17b38644987c SHA1..: c98fbbec42f5c98629c6926745f649606c83beda SHA256: a65bf90c1b6d4c6222745888cce917a73cb39477bb392e6ca31ddf5833c15d52 ssdeep: 384:hHe37o1oIyTl3Sj4qLOclaLsamlAodKvd3wp8LNyqPM2815osMO:p07gxAl3 FqqlsCv5wp8ZfPI15osM PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ 5.0 (51.2%) Win32 Executable MS Visual C++ (generic) (31.8%) Win32 Executable Generic (7.1%) Win32 Dynamic Link Library (generic) (6.3%) Generic Win/DOS Executable (1.6%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2152 timedatestamp.....: 0x4545d26e (Mon Oct 30 10:22:38 2006) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5614 0x6000 6.20 748c3bb15b8784463c7c5de5678bceac .rdata 0x7000 0x9b0 0x1000 3.76 34eaceafd83b534ddf838951cb6b9a97 .data 0x8000 0x1f5c 0x1000 1.96 286559f24da3bda0b27c824bed148a30 ( 3 imports ) > KERNEL32.dll: GetWindowsDirectoryA, CreateProcessA, LoadLibraryA, SetEndOfFile, SetFilePointer, GetProcAddress, FreeLibrary, lstrlenA, GetCommandLineA, GetVersionExA, GetModuleHandleA, GetStartupInfoA, GetVersion, ExitProcess, HeapFree, GetLastError, CloseHandle, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, WriteFile, MultiByteToWideChar, LCMapStringA, LCMapStringW, HeapAlloc, VirtualAlloc, HeapReAlloc, SetStdHandle, FlushFileBuffers, CreateFileA, GetCPInfo, GetACP, GetOEMCP, GetStringTypeA, GetStringTypeW, ReadFile > USER32.dll: wsprintfA > ADVAPI32.dll: RegEnumKeyExA, RegQueryValueExA, RegCloseKey, RegOpenKeyExA ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=47bba427e91cbb98e41a17b38644987c' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=47bba427e91cbb98e41a17b38644987c</a> |
28.05.2009, 12:25 | #13 |
| Scheinbar schwerwiegender Virus/Wurm Ergebnis der ARPRODUCTICON.exe: Code:
ATTFilter Datei ARPPRODUCTICON.exe empfangen 2009.05.28 11:15:42 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.28 - AhnLab-V3 5.0.0.2 2009.05.28 - AntiVir 7.9.0.180 2009.05.28 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.28 - Avast 4.8.1335.0 2009.05.27 - AVG 8.5.0.339 2009.05.27 - BitDefender 7.2 2009.05.28 - CAT-QuickHeal 10.00 2009.05.28 - ClamAV 0.94.1 2009.05.28 - Comodo 1210 2009.05.28 - DrWeb 5.0.0.12182 2009.05.28 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6526 2009.05.28 - F-Prot 4.4.4.56 2009.05.28 - F-Secure 8.0.14470.0 2009.05.28 - Fortinet 3.117.0.0 2009.05.28 - GData 19 2009.05.28 - Ikarus T3.1.1.57.0 2009.05.28 - K7AntiVirus 7.10.746 2009.05.27 - Kaspersky 7.0.0.125 2009.05.28 - McAfee 5628 2009.05.27 - McAfee+Artemis 5628 2009.05.27 - McAfee-GW-Edition 6.7.6 2009.05.28 - Microsoft 1.4701 2009.05.28 - NOD32 4111 2009.05.28 - Norman 6.01.05 2009.05.28 - nProtect 2009.1.8.0 2009.05.28 - Panda 10.0.0.14 2009.05.28 - PCTools 4.4.2.0 2009.05.21 - Prevx 3.0 2009.05.28 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.28 - Sunbelt 3.2.1858.2 2009.05.28 - Symantec 1.4.4.12 2009.05.28 - TheHacker 6.3.4.3.333 2009.05.28 - TrendMicro 8.950.0.1092 2009.05.28 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.28.1758 2009.05.28 - VirusBuster 4.6.5.0 2009.05.27 - weitere Informationen File size: 10134 bytes MD5...: 6e42cf0d47af25dea4cecdbe093d521c SHA1..: ec3e157d289629ab3c391800e7d8774e0f3a2ec0 SHA256: 7e1f9048d457369e50ee2ccc3659c897a740ecf722036858c88390115e5612a1 SHA512: 11846707cf38ee1d08563263df52a500400623918ed80772824ccea23c205544 60ac7f63a5eff5bc76eee7fef0cd7508d4b5c3da6eeee7113662ee605a8be8a8 ssdeep: 96:SYONfeZEWVArvU3mONfeZEWV4+xF9p0ONfeZEWVblMb6UjjDhPm2TBnDifnZP mS:KNeTL3TNeT4+vDFNeTb6bVPmSB2nZPmS PEiD..: - TrID..: File type identification Windows Icon (57.2%) MPEG Video (42.7%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set ( Borland Software Corp. ) > Delphi Studio: SetupIcon.ibd > Delphi Studio with .NET interoperability: SetupIcon.ibd ( Microsoft ) > Applications, Developer Tools: SETUPICON.IBD > MSDN Disc 2436.12: SETUP.ICO > Developer Tools, Servers: SETUPICON.IBD > MSDN Disc 2436.10: SETUP.ICO > MSDN MS .NET framework 1.1 SDK, App. Center 2000 dev. ed., Commerce server 2002 dev. ed., Data Analyzer 3.5, Host Integration server 2000: SETUP.ICO > Exchange Server 2000: SETUPICON.IBD > MSDN MS .NET Framework 1.1 SDK, IE 5.5 SP1, IE 6.0, IE 6.0 SP1, SharePoint Server 2001, SharePoint Server 2001 SP2A: SETUP.ICO > MSDN Disc 3089: SETUPICON.IBD > MSDN Disc 2436.18: SETUP.ICO > MSDN Disc 2436.19: SETUP.ICO > Servers: SETUPICON.IBD > SharePoint Portal Server 2001: SETUP.ICO > MSDN Disc2436.3: SETUP.ICO > .NET Framework SDK: SETUP.ICO > Applications, Developer Tools, Servers: SETUP.ICO > Exchange 2000 Enterprise Server: SETUPICON.IBD > MSDN Disk 2436.22: SETUP.ICO > MSDN Disc: SETUP.ICO > MSDN Disc 2436.5: SETUP.ICO > MSDN Disc 2436.6: SETUP.ICO > MSDN Disc 2436.7: SETUP.ICO > MSDN Disc 2436.8: SETUP.ICO > Visual SourceSafe: SETUPICON.IBD > MSDN Disc 2436.27: SETUP.ICO > MSDN Disc 2436.26: SETUP.ICO > MSDN Disc 2436.25: SETUP.ICO > MSDN Disc 2436.24: SETUP.ICO > MSDN Disc 2436.22: SETUP.ICO > MSDN Disc 2436.20: SETUP.ICO > MSDN Disc 2436.28: SETUP.ICO > MSDN Disc 3089.1: SETUPICON.IBD > SharePoint Portal Server: SETUP.ICO > Beta 2 Kit 2003: Setup.ico > Tahoe Server: SETUP.ICO > MSDN SharePoint portal server 2001, SMS 2.0 w SP2, MS IE 5.5 SP1, IE 6.0, IE 6.0 SP1, Windows 98, Windows ME: SETUP.ICO > Disc 2488: SETUPICON.IBD,SetupIcon.ibd > MSDN MS Application Center 2000, BizTalk Server 2002, BizTalk server 2004 beta, Content Management Server 2002, Identity Integration Server 2003: SETUP.ICO > Internet Explorer Versions: SETUP.ICO > MSDN Disc2488.1: SETUPICON.IBD,SetupIcon.ibd > MSDN Office Publisher 2003: SETUP.ICO > Developer Tools: SETUPICON.IBD > MSDN Disk 2436.14: SETUP.ICO ( Future Publishing ) > ATmission Live CD - MEPIS Linux: binary9 CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=6e42cf0d47af25dea4cecdbe093d521c' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=6e42cf0d47af25dea4cecdbe093d521c</a> |
28.05.2009, 14:48 | #14 |
| Scheinbar schwerwiegender Virus/Wurm So, hier der MAM-Bericht: Code:
ATTFilter Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2187 Windows 5.1.2600 Service Pack 3 28.05.2009 15:41:48 mbam-log-2009-05-28 (15-41-48).txt Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|) Durchsuchte Objekte: 558513 Laufzeit: 1 hour(s), 52 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
28.05.2009, 15:24 | #15 |
| Scheinbar schwerwiegender Virus/Wurm Hi, gut wir machen nur noch eine kurze Überprüfung auf Rootkits: Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu Scheinbar schwerwiegender Virus/Wurm |
anti-malware, avg, avg free, digital, diverse, ebay, fehler, firewall, frage, free, funktioniert, internetseite, internetseiten öffnen sich, keine firewall, keine verbindung, microsoft, musik, neu aufsetzen, neue, online, programm, seite, seiten, seiten öffnen sich, server, system, tipps, verbindung, virus, youtube |