Ja ist es

lg

Gute Nachricht: Direkte Anzeichen für Schädlinge gibt es nicht.

Schlechte Nachricht: Da ist ein Müll installiert, der mich erschaudern lässt.

1.) Deinstalliere:

• Ad-Aware (Schrott)
• Apple Software Update (Spionage)
• eMule (Virenschleuder)
• Java(TM) 6 Update 12 (veraltet)
• Spybot - Search & Destroy (Schrott)
• SuperAntiSpyware (Dienst erfüllt, jetzt überflüssig)
• Team Fortress 2 (die Quelle des Übels)

2.) Installiere:

• Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
Ad-Watch Connect Filter
GMSIPCI
NTACCESS
Lbd
Lavasoft Ad-Aware Service
Bonjour Service

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\eMule\\emule.exe"=-
"c:\\Programme\\GP4 Entpackt\\GP4.exe"=-
"c:\\Programme\\GP4 Entpackt\\GP4_alt.exe"=-
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Registrierungsprogramm ausführen.lnk]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ad-Watch"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
"ctfmon.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]

File::
C:\Programme\Bonjour\mDNSResponder.exe
c:\windows\Tasks\1-Klick-Wartung.job
c:\programme\eMule0.49b-Installer1.exe
c:\programme\aaw2008_11n.exe
c:\programme\MsgPlusLive-470.exe
c:\windows\system32\drivers\Lbd.sys
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

Folder::
C:\rsit
c:\programme\eMule
c:\programme\SUPERAntiSpyware
c:\dokumente und einstellungen\Admin\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Config.Msi

DirLook::
c:\programme\GP4 Entpackt
C:\Lan
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Die Programme habe ich deinstalliert und Java installiert.

CombiFix habe ich auch gemacht wie gewünscht, auch dieses Log ist zu lang fürs Forum. Hier der Link: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

lg Puma1408

Lasse bitte folgende Dateien bei Virustotal auswerten und poste die Ergebnisse:

Code: Alles auswählenAufklappen

ATTFilter

c:\programme\GP4 Entpackt\Crackfiles\RegSetup.exe
c:\programme\GP4 Entpackt\Crackfiles\INSTALL.EXE
c:\programme\GP4 Entpackt\Crackfiles\GP4.exe
         

Die Situation ist jetzt verfahren. Stell deinen Sohn zur Rede. Soll ich alles Illegale löschen?

ciao, andreas

Ich habe ihn darauf angesprochen, und er meinte, sein Freund habe ihm GARANTIERT es sei kein Virus
Wie alle anderen seiner Spiele auch...

Ergebnisse:

Code: Alles auswählenAufklappen

ATTFilter

Datei INSTALL.EXE empfangen 2009.06.19 17:31:04 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/41 (4.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.18	2009.06.19	-
AhnLab-V3	5.0.0.2	2009.06.19	-
AntiVir	7.9.0.193	2009.06.19	-
Antiy-AVL	2.0.3.1	2009.06.19	-
Authentium	5.1.2.4	2009.06.19	-
Avast	4.8.1335.0	2009.06.18	-
AVG	8.5.0.339	2009.06.19	-
BitDefender	7.2	2009.06.19	-
CAT-QuickHeal	10.00	2009.06.19	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.06.19	-
Comodo	1372	2009.06.19	-
DrWeb	5.0.0.12182	2009.06.19	-
eSafe	7.0.17.0	2009.06.18	-
eTrust-Vet	31.6.6569	2009.06.19	-
F-Prot	4.4.4.56	2009.06.19	-
F-Secure	8.0.14470.0	2009.06.19	-
Fortinet	3.117.0.0	2009.06.19	-
GData	19	2009.06.19	-
Ikarus	T3.1.1.59.0	2009.06.19	-
Jiangmin	11.0.706	2009.06.19	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.19	-
McAfee	5651	2009.06.19	-
McAfee+Artemis	5651	2009.06.19	-
McAfee-GW-Edition	6.7.6	2009.06.19	-
Microsoft	1.4803	2009.06.19	-
NOD32	4172	2009.06.19	-
Norman	6.01.09	2009.06.19	-
nProtect	2009.1.8.0	2009.06.19	-
Panda	10.0.0.16	2009.06.19	-
PCTools	4.4.2.0	2009.06.19	-
Prevx	3.0	2009.06.19	-
Rising	21.34.44.00	2009.06.19	-
Sophos	4.42.0	2009.06.19	-
Sunbelt	3.2.1858.2	2009.06.19	-
Symantec	1.4.4.12	2009.06.19	-
TheHacker	6.3.4.3.348	2009.06.19	-
TrendMicro	8.950.0.1094	2009.06.19	PAK_Generic.001
VBA32	3.12.10.7	2009.06.19	-
ViRobot	2009.6.19.1796	2009.06.19	-
VirusBuster	4.6.5.0	2009.06.19	-
weitere Informationen
File size: 725112 bytes
MD5...: d5d0cd9f9dedf96edb62bfa8668a3207
SHA1..: fbabe9d482a3595a0064d0ff7f83df055f994ded
SHA256: 388d67ee91ebe03d08e215dfacb00bf6a2ce66cd9dc1106929cc17f70da52dc5
ssdeep: 12288:6ADXMzMQO39myxsIuIqKA3W9rZM98nLGkUH3wavTgJ6+cdTPZtdB:6AqMQ
9yxIulMunLZ8AavMJ87B
PEiD..: PECompact v1.4x+
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (76.8%)
Win32 Executable Generic (15.7%)
Generic Win/DOS Executable (3.7%)
DOS Executable Generic (3.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2f2a70
timedatestamp.....: 0x2a420000 (Fri Jun 19 15:40:48 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
pec1 0x1000 0x274000 0x32800 7.93 53771fb00c4068298895533a9dc2702a
.rsrc 0x275000 0x130000 0x7e000 7.94 e0479347db52650767893d8bd1c0db3a
.rsrc 0x3a5000 0x1000 0x400 4.77 4fc3d8b0855d7a74c79a993a9fdcd77a

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree, ExitProcess, GetModuleHandleA
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: VariantChangeTypeEx
> gdi32.dll: UnrealizeObject
> ole32.dll: IsEqualGUID
> comctl32.dll: ImageList_SetIconSize
> shell32.dll: ShellExecuteA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PECompact
packers (F-Prot): PECompact
         

Code: Alles auswählenAufklappen

ATTFilter

 Datei RegSetup.exe empfangen 2009.06.19 17:32:45 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.18	2009.06.19	-
AhnLab-V3	5.0.0.2	2009.06.19	-
AntiVir	7.9.0.193	2009.06.19	-
Antiy-AVL	2.0.3.1	2009.06.19	-
Authentium	5.1.2.4	2009.06.19	-
Avast	4.8.1335.0	2009.06.18	-
AVG	8.5.0.339	2009.06.19	-
BitDefender	7.2	2009.06.19	-
CAT-QuickHeal	10.00	2009.06.19	-
ClamAV	0.94.1	2009.06.19	-
Comodo	1372	2009.06.19	-
DrWeb	5.0.0.12182	2009.06.19	-
eSafe	7.0.17.0	2009.06.18	-
eTrust-Vet	31.6.6569	2009.06.19	-
F-Prot	4.4.4.56	2009.06.19	-
F-Secure	8.0.14470.0	2009.06.19	-
Fortinet	3.117.0.0	2009.06.19	-
GData	19	2009.06.19	-
Ikarus	T3.1.1.59.0	2009.06.19	-
Jiangmin	11.0.706	2009.06.19	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.19	-
McAfee	5651	2009.06.19	-
McAfee+Artemis	5651	2009.06.19	-
McAfee-GW-Edition	6.7.6	2009.06.19	-
Microsoft	1.4803	2009.06.19	-
NOD32	4172	2009.06.19	-
Norman	6.01.09	2009.06.19	-
nProtect	2009.1.8.0	2009.06.19	-
Panda	10.0.0.16	2009.06.19	-
PCTools	4.4.2.0	2009.06.19	-
Prevx	3.0	2009.06.19	-
Rising	21.34.44.00	2009.06.19	-
Sophos	4.42.0	2009.06.19	-
Sunbelt	3.2.1858.2	2009.06.19	-
Symantec	1.4.4.12	2009.06.19	-
TheHacker	6.3.4.3.348	2009.06.19	-
TrendMicro	8.950.0.1094	2009.06.19	-
VBA32	3.12.10.7	2009.06.19	-
ViRobot	2009.6.19.1796	2009.06.19	-
VirusBuster	4.6.5.0	2009.06.19	-
weitere Informationen
File size: 41213 bytes
MD5...: 5966c788ef0c06c4c85e2f6a50fda8cc
SHA1..: 59a2db1bd4649c337a9b33958b9ed6e05ec04a2c
SHA256: 5cd31def4b8dccb3f6e8a595a4962534b4308355ae1975882a0e08e967e210e3
ssdeep: 384:2pkyMFml9CIxTEVS6NwyM8ww6yWtsnoap6y+HM3J/wYJraWmo0WI2OBKdQmi
L:21rNEV1wDwznoawx4JokrPmoLbOuM
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x220f
timedatestamp.....: 0x39473724 (Wed Jun 14 07:41:24 2000)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x54bc 0x6000 6.14 3718687dc0933d1f7526de0be822c7ca
.rdata 0x7000 0xbae 0x1000 4.31 b18007ad35623812acc7f91a631f990c
.data 0x8000 0x2138 0x1000 2.29 969fc2fac1a41a284af404fa92b1d9d3
.rsrc 0xb000 0x9f8 0x1000 2.55 2478bc93414089f9e8596bcf7bbaafb8

( 4 imports )
> KERNEL32.dll: GetTempFileNameA, WriteFile, GetWindowsDirectoryA, GetCurrentDirectoryA, DeleteFileA, CreateFileA, GetFileSize, SetFilePointer, ReadFile, GetCommandLineA, GetTempPathA, GetStartupInfoA, UnhandledExceptionFilter, GetModuleFileNameA, GetStringTypeW, GetStringTypeA, FlushFileBuffers, LCMapStringA, MultiByteToWideChar, LCMapStringW, LoadLibraryA, GetProcAddress, SetStdHandle, GetACP, GetCPInfo, HeapFree, HeapAlloc, GetModuleHandleA, CloseHandle, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, GetStdHandle, GetOEMCP, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetFileType, RtlUnwind, GetLastError, GetFileAttributesA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA
> USER32.dll: SetWindowPos, EndDialog, GetSystemMetrics, GetWindowRect, DialogBoxParamA, GetDlgItem, SendMessageA, MessageBoxA, KillTimer, EnableWindow, SetWindowTextA, SetTimer
> ADVAPI32.dll: RegCloseKey, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA
> COMCTL32.dll: -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
         

Code: Alles auswählenAufklappen

ATTFilter

 Datei GP4.exe empfangen 2009.06.19 17:35:53 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.18	2009.06.19	-
AhnLab-V3	5.0.0.2	2009.06.19	-
AntiVir	7.9.0.193	2009.06.19	-
Antiy-AVL	2.0.3.1	2009.06.19	-
Authentium	5.1.2.4	2009.06.19	-
Avast	4.8.1335.0	2009.06.18	-
AVG	8.5.0.339	2009.06.19	-
BitDefender	7.2	2009.06.19	-
CAT-QuickHeal	10.00	2009.06.19	-
ClamAV	0.94.1	2009.06.19	-
Comodo	1373	2009.06.19	-
DrWeb	5.0.0.12182	2009.06.19	-
eSafe	7.0.17.0	2009.06.18	-
eTrust-Vet	31.6.6569	2009.06.19	-
F-Prot	4.4.4.56	2009.06.19	-
F-Secure	8.0.14470.0	2009.06.19	-
Fortinet	3.117.0.0	2009.06.19	-
GData	19	2009.06.19	-
Ikarus	T3.1.1.59.0	2009.06.19	-
Jiangmin	11.0.706	2009.06.19	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.19	-
McAfee	5651	2009.06.19	-
McAfee+Artemis	5651	2009.06.19	-
McAfee-GW-Edition	6.7.6	2009.06.19	-
Microsoft	1.4803	2009.06.19	-
NOD32	4172	2009.06.19	-
Norman	6.01.09	2009.06.19	-
nProtect	2009.1.8.0	2009.06.19	-
Panda	10.0.0.16	2009.06.19	-
PCTools	4.4.2.0	2009.06.19	-
Prevx	3.0	2009.06.19	-
Rising	21.34.44.00	2009.06.19	-
Sophos	4.42.0	2009.06.19	-
Sunbelt	3.2.1858.2	2009.06.19	-
Symantec	1.4.4.12	2009.06.19	-
TheHacker	6.3.4.3.348	2009.06.19	-
TrendMicro	8.950.0.1094	2009.06.19	-
VBA32	3.12.10.7	2009.06.19	-
ViRobot	2009.6.19.1796	2009.06.19	-
VirusBuster	4.6.5.0	2009.06.19	-
weitere Informationen
File size: 6250496 bytes
MD5...: 899b8fa1d7717927765ab01fd3d3b71f
SHA1..: c48f482e738c5a31bafc0631c90c56f25ac83788
SHA256: 1a33e8f1cc789a1c18775d351be8a32c7986e809a72401449190582f0e8bf7fc
ssdeep: 49152:BqktzzgIq490EQEo/cwa8Z8210cwKxqd:BqkhgI59hrS0cHq
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1db0b6
timedatestamp.....: 0x3cfc01a2 (Mon Jun 03 23:54:10 2002)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ec3e6 0x1ed000 6.74 5a6fed0d8218a6ee7f0b15e57971693a
.rdata 0x1ee000 0x10901 0x11000 5.70 b971fa4c761206e0411715ba4da28356
.data 0x1ff000 0x5432e5 0x3ed000 1.13 7aed99d7e4d5960e6a56f1fec0be1f06
.data1 0x743000 0x8e0 0x1000 2.52 bd4929bb4ee6547e6217d41c6806e321
.rsrc 0x744000 0xcee 0x1000 4.65 e67c5d6693a7432e585c22e058fd06b1
stxt774 0x745000 0x2077 0x3000 0.00 4072783b8efb99a9e5817067d68f61c6
stxt371 0x748000 0x3af4 0x4000 2.14 c94a7b62da55df1017b85b23663ba43a

( 13 imports )
> d3d8.dll: Direct3DCreate8
> DINPUT8.dll: DirectInput8Create
> KERNEL32.dll: FindNextFileA, GetFileAttributesA, FileTimeToDosDateTime, WriteFile, GlobalHandle, GetSystemInfo, DebugBreak, SetFilePointer, GetLocalTime, DeleteFileA, FindClose, GetFileTime, MoveFileA, GetVolumeInformationA, InterlockedIncrement, HeapValidate, InterlockedDecrement, GetTempFileNameA, GetTempPathA, IsProcessorFeaturePresent, LoadLibraryA, GetProcAddress, MapViewOfFile, CreateFileMappingA, CreateFileW, UnmapViewOfFile, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetLocaleInfoW, SetEndOfFile, FlushFileBuffers, GetStringTypeW, GetStringTypeA, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, GetUserDefaultLCID, EnumSystemLocalesA, GetLocaleInfoA, IsValidCodePage, IsValidLocale, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, LCMapStringW, LCMapStringA, GetStdHandle, SetHandleCount, GetFileType, SetStdHandle, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetModuleFileNameA, RaiseException, GetOEMCP, GetACP, GetCPInfo, TlsGetValue, SetLastError, TlsAlloc, TlsSetValue, GetSystemTimeAsFileTime, TerminateProcess, ExitProcess, GetCommandLineA, GetStartupInfoA, GetSystemTime, GetTimeZoneInformation, FileTimeToLocalFileTime, FileTimeToSystemTime, MultiByteToWideChar, GetCurrentProcess, GetVersionExA, GlobalMemoryStatus, GetFullPathNameA, GetCurrentThreadId, SetErrorMode, CreateSemaphoreA, GetVersion, CreateEventA, GetFileSize, ReadFile, CloseHandle, GetTickCount, GetLogicalDrives, GetDriveTypeA, FindFirstFileA, GetModuleHandleA, lstrcpyA, lstrcatA, GlobalFree, GlobalAlloc, Sleep, QueryPerformanceFrequency, QueryPerformanceCounter, GetPrivateProfileStringA, CreateFileA, HeapSize, DeleteCriticalSection, LeaveCriticalSection, InitializeCriticalSection, EnterCriticalSection, SetFileAttributesA, RtlUnwind, WaitForSingleObject, ReleaseMutex, CreateMutexA, OutputDebugStringA, GetLastError, CreateDirectoryA, SetCurrentDirectoryA, GetCurrentDirectoryA, HeapReAlloc, HeapFree, HeapAlloc, GetProcessHeap, WideCharToMultiByte
> USER32.dll: PtInRect, ClientToScreen, PostMessageA, LoadImageA, SetRect, GetAsyncKeyState, SetCursorPos, GetCursorPos, MoveWindow, GetWindowRect, GetWindowLongA, GetClassLongA, MessageBoxA, GetClientRect, SetForegroundWindow, MessageBoxExA, DispatchMessageA, TranslateMessage, GetMessageA, PeekMessageA, ShowWindow, CharUpperA, CharLowerA, MapVirtualKeyA, GetKeyNameTextA, GetIconInfo, ScreenToClient, ShowCursor, DefWindowProcA, BeginPaint, EndPaint, PostQuitMessage, ReplyMessage, LoadIconA, RegisterClassExA, AdjustWindowRectEx, CreateWindowExA, UpdateWindow, SetFocus, LoadCursorA, SetCursor, GetDC, ReleaseDC, FindWindowA, SystemParametersInfoA
> GDI32.dll: GetDIBits, GetStockObject, GetSystemPaletteUse, GetSystemPaletteEntries, LineTo, MoveToEx, SelectClipRgn, CreateRectRgn, GetTextExtentPoint32A, TextOutA, EndPage, EndDoc, GetDeviceCaps, CreateFontIndirectA, GetTextMetricsA, CreatePen, CreateDCA, StartDocA, StartPage, GetObjectA, CreateCompatibleDC, CreateDIBSection, SelectObject, SetTextColor, SetBkColor, SetTextAlign, SetMapMode, GetTextExtentPoint32W, DeleteDC, CreateScalableFontResourceA, AddFontResourceA, CreateFontA, DeleteObject, RemoveFontResourceA, ExtTextOutW
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter, EnumPrintersA, PrinterProperties
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA, RegOpenKeyA, RegQueryValueExA
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx
> DINPUT.dll: DirectInputCreateA
> WINMM.dll: timeGetTime, timeKillEvent, timeGetDevCaps, timeSetEvent, joyGetNumDevs, joyGetPosEx, timeEndPeriod, timeBeginPeriod, joyGetDevCapsA
> DSOUND.dll: -, -
> binkw32.dll: _BinkOpenDirectSound@4, _BinkWait@4, _BinkClose@4, _BinkSetSoundSystem@8, _BinkService@4, _BinkDoFrame@4, _BinkGoto@12, _BinkCopyToBuffer@28, _BinkSetVolume@12, _BinkOpen@8, _BinkNextFrame@4
> WSOCK32.dll: -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
         

Danke für deine Hilfe!!!!!!

lg Puma1408

Ps: Ist viel Illegales drauf??

Zitat:

Ist viel Illegales drauf??

Das sind nur 2 Ordner, da ist aber sehr viel drin.

Ich bin immer häufiger dabei, die Eltern aufzuklären: Crack (Software) ? Wikipedia

Bei einem legalen Spiel ist mir noch nicht der Begriff Crackfiles über den Weg gelaufen.

Wenn du sie los werden möchtest, dann geht es hier weiter:

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
c:\programme\GP4 Entpackt.7z

Folder::
c:\programme\GP4 Entpackt
C:\Lan
c:\programme\Spybot - Search & Destroy
c:\programme\Lavasoft
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Mein Sohn will dieses Spiel behalten... Kann ich es ohne Bedenken drauflassen?? Oer ist es gefährlich, dann wird es natürlich sofort gelöscht

Wie schaut es eigentlich nun mit dem Virus aus? Bin ich ihn los??

lg Puma1408

Zitat:

Oer ist es gefährlich, dann wird es natürlich sofort gelöscht

Wäre schon besser, ansonsten muss ich nämlich folgendes anordnen: http://www.trojaner-board.de/51262-a...sicherung.html

Beihilfe zum Diebstahl leisten wir hier nicht.

Zitat:

Wie schaut es eigentlich nun mit dem Virus aus? Bin ich ihn los??

Die Frage beantworte ich dir, wenn ich das Log von ComboFix sehe.

ciao, andreas

Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de <--- Das CombiFix Log.

Eine Beschwerde hat mein Pc noch: die Taskleiste ist immer verstellt, dh. der "Schnellstart" ist oft einfach verschwunden, wieso??

lg

Start => Ausführen => combofix /u => Ok

Zitat:

dh. der "Schnellstart" ist oft einfach verschwunden, wieso??

Schlechtes Anzeichen. Was heißt oft? Ist das reproduzierbar oder hängt das vom Zufall ab?

GMER - Rootkit Detection

• Lade GMER von GMER - Rootkit Detector and Remover
• Klick auf Download EXE und speichere es auf den Desktop
• Doppelklick auf das geladene Programm.
• Drücke Scan, der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Werde diesen Schritt morgen durchführen, es ist schon spät...

Heute und gestern 3 mal, 1 mal nach einem ComboFix Scan, und die Taskleisten Einstellungen sind auch falsch, dh. der Media Player wird nicht in so ein "Playerfenster" minimiert, sondern normal, wie zb. der Mozilla auch.

lg Puma1408

Das macht ComboFix, der setzt viele der Windowseinstellungen zurück. Die musst du nach ComboFix einmal wieder anpassen und das war es dann.

ciao, andreas

Also hat dies nichts mit nem Rootkit zu tun?
Soll ich den GMER Scan trotzdem machen?

lg Puma1408

Den Effekt mit der fehlenden Quickstartleiste gibt es auch im Zusammenhang mit Rootkits, aber das wurde hier von ComboFix verursacht. Neues Programm:

1.) http://www.trojaner-board.de/51187-a...i-malware.html

2.) Poste ein neues HJT-Log.

ciao, andreas

Mann ist das jetzt peinlich: Ich habe schon wieder nen neuen Trojaner, habe den Rechner in den letzten 2 Tagen aber nur für die Scans und für Trojaner-Board verwendet...

In der Datei 'C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe.vir'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Virustotal sagt dazu:

Code: Alles auswählenAufklappen

ATTFilter

 Datei mbam-setup.exe.vir empfangen 2009.06.20 08:43:23 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/41 (9.76%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 58 und 83 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.18	2009.06.20	Trojan.Trash!IK
AhnLab-V3	5.0.0.2	2009.06.19	-
AntiVir	7.9.0.193	2009.06.19	TR/Trash.Gen
Antiy-AVL	2.0.3.1	2009.06.19	-
Authentium	5.1.2.4	2009.06.19	-
Avast	4.8.1335.0	2009.06.19	-
AVG	8.5.0.339	2009.06.20	-
BitDefender	7.2	2009.06.20	-
CAT-QuickHeal	10.00	2009.06.19	-
ClamAV	0.94.1	2009.06.20	-
Comodo	1377	2009.06.20	-
DrWeb	5.0.0.12182	2009.06.20	-
eSafe	7.0.17.0	2009.06.18	-
eTrust-Vet	31.6.6570	2009.06.19	-
F-Prot	4.4.4.56	2009.06.19	-
F-Secure	8.0.14470.0	2009.06.19	-
Fortinet	3.117.0.0	2009.06.19	-
GData	19	2009.06.20	-
Ikarus	T3.1.1.59.0	2009.06.20	Trojan.Trash
Jiangmin	11.0.706	2009.06.20	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.20	-
McAfee	5651	2009.06.19	-
McAfee+Artemis	5651	2009.06.19	-
McAfee-GW-Edition	6.7.6	2009.06.19	Trojan.Trash.Gen
Microsoft	1.4803	2009.06.20	-
NOD32	4173	2009.06.20	-
Norman	6.01.09	2009.06.19	-
nProtect	2009.1.8.0	2009.06.20	-
Panda	10.0.0.16	2009.06.19	-
PCTools	4.4.2.0	2009.06.19	-
Prevx	3.0	2009.06.20	-
Rising	21.34.51.00	2009.06.20	-
Sophos	4.42.0	2009.06.20	-
Sunbelt	3.2.1858.2	2009.06.20	-
Symantec	1.4.4.12	2009.06.20	-
TheHacker	6.3.4.3.348	2009.06.19	-
TrendMicro	8.950.0.1094	2009.06.19	-
VBA32	3.12.10.7	2009.06.20	-
ViRobot	2009.6.19.1796	2009.06.19	-
VirusBuster	4.6.5.0	2009.06.19	-
weitere Informationen
File size: 3561743 bytes
MD5...: e9071f4586c3560f919e51e6b4f10312
SHA1..: 09029c4125de097cbbb08f919a032547efee0d80
SHA256: f4ccfaec093b81ee6b3f78884eb75b6b251bfdb140fd6e20ad8093b23977e9a9
ssdeep: 6:ivmtOq2Vg3F+X32xlt4t2o0vggmbty4uM7sTyWTb/uTi7WpLW//+/aubMaLL:3
O9GSGB4T0EtyVMGfYLWuSyMaLL
PEiD..: -
TrID..: File type identification
Autodesk FLIC Image File (extensions: flc, fli, cel) (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
         

Danke schon mal.
Lg Puma1408