Hallo Profis,

ich finde bei jedem Scan mit Malwarebytes den o.g. Trojanerhinweis. Beim Durchsuchen meines Rechners ist nichts zu finden, ebenso wird da anscheinend (?) auch nichts gelöscht nach vollendetem Scan.

Könnt Ihr mir mal helfen und mitteilen, wie ich diesen Nervtöter OHNE Neuaufsetzen losbekomme?
Ich hab mittlerweile schon einige Foren durchsucht (z.B. Malwarebytes oder HiJack, wo mir die angebotene Lösung doch ein wenig umständlich erscheint) aber gehts nicht ein wenig einfacher?

Vielen Dank schon mal
Emanuel


Anbei der Malwarebytes-Scan mit den jeweiligen Funden:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2477
Windows 5.1.2600 Service Pack 3

22.07.2009 09:22:39
mbam-log-2009-07-22 (09-22-34).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 5925
Laufzeit: 1 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\SKYNETnsxmmfqw.dll (Trojan.TDSS) -> No action taken.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\SKYNETnsxmmfqw.dll (Trojan.TDSS) -> No action taken.

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop (benenne es bereits im Downloaddialoge auf test.com um!).

Alle Fenster schliessen und combofix.exe (test.com) starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt

Danach MAM updaten und laufen lassen (Fullscan), alles bereinigen lassen, Log posten...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Erstmal das Combofix-Logfile (deaktivierter Virenscanner und Firewall)


ComboFix 09-07-22.05 - Besitzer 23.07.2009 9:19.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.247.33 [GMT 2:00]
ausgeführt von:: c:\eig\Neuer Ordner\test.com
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\1a205a.msp
c:\windows\system32\drivers\SKYNEThmtnosdo.sys
c:\windows\system32\SKYNEThrttbpyv.dat
c:\windows\system32\SKYNETjnqtqlrr.dat
c:\windows\system32\SKYNETnsxmmfqw.dll
c:\windows\system32\SKYNETtwyiwsip.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETvdledxvf


((((((((((((((((((((((( Dateien erstellt von 2009-06-23 bis 2009-07-23 ))))))))))))))))))))))))))))))
.

2009-07-14 18:08 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-07-14 18:08 . 2009-04-30 21:12 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-14 18:08 . 2009-04-30 21:13 1985024 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-07-14 18:08 . 2009-04-30 21:13 11064832 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-07-14 17:15 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-07-13 21:43 . 2009-07-13 21:43 3775176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-13 21:39 . 2009-07-13 21:39 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-07-13 21:38 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-13 21:38 . 2009-07-13 21:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-13 21:38 . 2009-07-13 21:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-13 21:38 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-13 21:30 . 2009-07-13 21:30 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-07-13 10:19 . 2009-07-14 17:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-13 09:24 . 2009-07-13 09:24 -------- d-----w- c:\programme\CCleaner
2009-07-13 08:02 . 2009-07-13 08:02 -------- d-----w- c:\programme\Trend Micro
2009-07-11 13:51 . 2009-07-19 06:51 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2009-07-11 13:21 . 2009-07-14 13:29 -------- d-----w- c:\programme\ANNO 1503 Königs- Edition
2009-07-11 13:01 . 2009-07-11 13:01 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-11 13:00 . 2009-07-11 13:01 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-07-11 12:51 . 2009-07-11 12:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-07-11 12:42 . 2009-07-11 12:53 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-11 12:42 . 2009-07-11 13:10 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DAEMON Tools Lite
2009-07-11 07:38 . 2009-07-23 07:32 580096 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-07-11 07:38 . 2009-07-13 20:56 215552 -c--a-w- c:\windows\system32\dllcache\termsrv.dll
2009-07-10 17:07 . 2009-07-10 17:07 32292 ----a-w- c:\windows\system32\msrfcint.dat
2009-07-10 17:06 . 2009-07-13 21:37 13231 ----a-w- c:\windows\system32\ntrdectr.dat
2009-07-10 17:06 . 2009-07-13 21:37 13513 ----a-w- c:\windows\system32\mscomct2.dat
2009-07-06 10:44 . 2009-07-06 10:44 577 ----a-w- c:\windows\eReg.dat
2009-07-06 10:06 . 2009-07-06 10:06 -------- d-----w- c:\programme\GameSpy Arcade
2009-07-06 09:50 . 2009-07-06 09:50 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Help
2009-07-06 09:45 . 2009-07-06 09:45 -------- d-----w- c:\programme\Smart Projects
2009-06-28 12:40 . 2009-06-28 12:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Media Player Classic
2009-06-28 11:06 . 2009-06-28 11:07 -------- d-----w- c:\programme\XP Codec Pack
2009-06-23 19:11 . 2009-06-23 19:11 -------- d-----w- c:\programme\Extremsplit

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-23 07:44 . 2009-05-06 11:02 14739488 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-23 07:32 . 2004-08-04 12:00 580096 ----a-w- c:\windows\system32\user32.dll
2009-07-22 09:03 . 2009-05-13 13:59 -------- d-----w- c:\programme\Full Tilt Poker
2009-07-20 21:41 . 2009-06-07 11:22 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\BitTorrent
2009-07-16 16:38 . 2009-06-22 13:19 -------- d-----w- c:\programme\PokerStars
2009-07-15 14:02 . 2009-07-15 14:03 1722880 ----a-w- c:\windows\Internet Logs\xDB6.tmp
2009-07-15 14:02 . 2009-07-15 14:03 343040 ----a-w- c:\windows\Internet Logs\xDB5.tmp
2009-07-15 08:20 . 2009-07-15 08:21 1722368 ----a-w- c:\windows\Internet Logs\xDB4.tmp
2009-07-13 20:56 . 2009-05-02 13:01 215552 ----a-w- c:\windows\system32\termsrv.dll
2009-07-13 09:38 . 2009-06-07 11:21 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DNA
2009-07-13 07:29 . 2009-06-07 11:21 -------- d-----w- c:\programme\DNA
2009-07-11 23:52 . 2009-05-11 10:06 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-11 13:20 . 2009-06-09 15:53 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-07-07 12:41 . 2009-07-07 12:43 513536 ----a-w- c:\windows\Internet Logs\xDB3.tmp
2009-07-07 11:41 . 2009-06-19 10:32 1 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-01 07:34 . 2009-06-09 16:27 -------- d-----w- c:\programme\Duke Nukem 3D Atomic Edition 1.5 (Original DOS)
2009-06-28 12:31 . 2009-05-06 11:02 172916 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-28 10:57 . 2009-05-02 13:47 17280 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-22 21:40 . 2009-06-22 21:38 -------- d-----w- c:\programme\QuickTime
2009-06-22 21:38 . 2009-06-22 21:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-06-22 13:50 . 2009-05-11 10:06 -------- d-----w- c:\programme\Full Tilt Poker.Net
2009-06-22 13:18 . 2009-05-08 14:14 -------- d-----w- c:\programme\PokerStars.NET
2009-06-19 10:29 . 2009-06-19 10:29 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org
2009-06-19 10:18 . 2009-06-19 10:18 -------- d-----w- c:\programme\JRE
2009-06-19 10:18 . 2009-06-19 10:16 -------- d-----w- c:\programme\OpenOffice.org 3
2009-06-19 10:13 . 2009-06-19 10:14 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-06-19 10:12 . 2009-05-02 13:11 -------- d-----w- c:\programme\Java
2009-06-16 18:35 . 2009-06-16 18:36 1624576 ----a-w- c:\windows\Internet Logs\xDB2.tmp
2009-06-16 18:35 . 2009-06-16 18:36 823296 ----a-w- c:\windows\Internet Logs\xDB1.tmp
2009-06-16 14:36 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-09 21:46 . 2009-06-09 21:33 -------- d-----w- c:\programme\ICQ6.5
2009-06-09 21:46 . 2009-06-09 21:39 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\ICQ
2009-06-09 11:10 . 2009-06-07 17:45 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-06-07 17:46 . 2009-06-07 17:46 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\EAST Technologies
2009-06-07 11:21 . 2009-06-07 11:21 -------- d-----w- c:\programme\BitTorrent
2009-06-06 12:48 . 2009-05-08 09:35 -------- d-----w- c:\programme\DivX
2009-06-06 12:44 . 2009-05-08 09:35 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-05 09:42 . 2009-06-05 09:42 -------- d-----w- c:\programme\ffdshow
2009-06-05 09:40 . 2009-06-05 09:40 -------- d-----w- c:\programme\PlayFLV
2009-06-05 09:39 . 2009-06-05 09:39 253330 ----a-w- c:\programme\PlayFLV.exe
2009-06-03 19:09 . 2004-08-04 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-25 05:14 . 2009-05-25 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Elecard
2009-05-25 05:14 . 2009-05-25 05:14 -------- d-----w- c:\programme\Elecard
2009-05-24 00:18 . 2009-05-24 00:18 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-05-24 00:18 . 2009-05-24 00:18 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-05-13 05:02 . 2004-09-29 18:47 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:32 . 2004-08-04 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-06 13:34 . 2004-08-04 12:00 54788 ----a-w- c:\windows\system32\perfc007.dat
2009-05-06 13:34 . 2004-08-04 12:00 371028 ----a-w- c:\windows\system32\perfh007.dat
2009-05-06 13:08 . 2009-05-06 13:08 141 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-05-06 12:36 . 2009-05-02 13:07 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-06 11:14 . 2009-05-06 11:14 9856 ----a-w- c:\windows\system32\drivers\pfc.sys
2009-05-06 11:01 . 2009-05-06 10:59 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-05-06 10:47 . 2009-05-06 10:47 0 ----a-w- c:\windows\nsreg.dat
2009-05-02 13:04 . 2009-05-02 13:04 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll
2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll
2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll
2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll
2006-05-05 15:13 . 2009-06-09 15:52 4663330 ----a-w- c:\programme\Patch 1.01.exe
2009-04-24 05:47 . 2009-06-16 11:21 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
Infected c:\windows\system32\user32.dll hex repaired


------- Sigcheck -------

[7] 2004-08-04 12:00 297472 1850BC10DE5DCCCEDE063FC2D0F2CEDA c:\windows\$NtServicePackUninstall$\termsrv.dll
[7] 2008-04-14 02:22 297472 B7DE02C863D8F5A005A7BF375375A6A4 c:\windows\ServicePackFiles\i386\termsrv.dll
[-] 2009-07-13 20:56 215552 A77219A971029DC2FB683E8513713803 c:\windows\system32\termsrv.dll
[-] 2009-07-13 20:56 215552 A77219A971029DC2FB683E8513713803 c:\windows\system32\dllcache\termsrv.dll

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-06-19 148888]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.05.2009 13:07 108289]
S4 AlerterAlerterALG;Warndienst AlerterAlerterALG; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-07-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\2g6gcpxy.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 09:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AlerterAlerterALG]
"ImagePath"=""
.
Zeit der Fertigstellung: 2009-07-23 9:51
ComboFix-quarantined-files.txt 2009-07-23 07:51

Vor Suchlauf: 3.455.459.328 Bytes frei
Nach Suchlauf: 3.624.742.912 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

201 --- E O F --- 2009-07-15 13:56

Sorry, hat ein wenig gedauert aber hier das Mbam-Log



Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2486
Windows 5.1.2600 Service Pack 3

23.07.2009 11:29:04
mbam-log-2009-07-23 (11-29-04).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 118690
Laufzeit: 1 hour(s), 10 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\qoobox\quarantine\c\windows\system32\SKYNETnsxmmfqw.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d86c09e3-1d1f-4a7a-b101-d152771146cf}\rp48\A0014436.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

Hier das RSIT log.txt - File


Logfile of random's system information tool 1.06 (written by random/random)
Run by Besitzer at 2009-07-23 11:57:44
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 3 GB (18%) free of 20 GB
Total RAM: 247 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:15, on 23.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = htp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: htp://*.update.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241609567218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - htp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241614431421
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4166 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-05-24 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-06-19 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-06-19 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-06-19 148888]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2005-06-21 155648]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2005-06-21 126976]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
C:\Programme\DNA\btdna.exe [2009-06-07 321344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-05-24 198160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2005-06-21 348160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\DNA\btdna.exe"="C:\Programme\DNA\btdna.exe:*:EnabledNA"
"C:\Programme\BitTorrent\bittorrent.exe"="C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-07-23 11:43:06 ----D---- C:\rsit
2009-07-23 10:03:22 ----SHD---- C:\RECYCLER
2009-07-23 09:51:54 ----A---- C:\ComboFix.txt
2009-07-23 09:00:49 ----A---- C:\Boot.bak
2009-07-23 09:00:37 ----RASHD---- C:\cmdcons
2009-07-23 08:56:31 ----A---- C:\WINDOWS\zip.exe
2009-07-23 08:56:31 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-07-23 08:56:31 ----A---- C:\WINDOWS\SWSC.exe
2009-07-23 08:56:31 ----A---- C:\WINDOWS\SWREG.exe
2009-07-23 08:56:31 ----A---- C:\WINDOWS\sed.exe
2009-07-23 08:56:31 ----A---- C:\WINDOWS\PEV.exe
2009-07-23 08:56:31 ----A---- C:\WINDOWS\NIRCMD.exe
2009-07-23 08:56:31 ----A---- C:\WINDOWS\grep.exe
2009-07-23 08:55:52 ----D---- C:\WINDOWS\ERDNT
2009-07-23 08:53:49 ----D---- C:\Qoobox
2009-07-14 20:21:51 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-14 20:19:12 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-14 20:19:04 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-14 20:17:48 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-07-14 20:17:38 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-07-14 20:17:25 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-07-14 20:13:01 ----HDC---- C:\WINDOWS\$NtUninstallKB959772_WM11$
2009-07-14 20:12:49 ----HDC---- C:\WINDOWS\$NtUninstallKB954154_WM11$
2009-07-14 20:12:39 ----HDC---- C:\WINDOWS\$NtUninstallKB929399$
2009-07-14 20:11:55 ----HDC---- C:\WINDOWS\$NtUninstallKB936782_WMP11$
2009-07-14 20:11:25 ----HDC---- C:\WINDOWS\$NtUninstallKB939683$
2009-07-14 20:11:07 ----A---- C:\WINDOWS\imsins.BAK
2009-07-14 20:11:00 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2009-07-14 19:15:59 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-07-14 19:15:58 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-07-13 23:39:02 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-07-13 23:38:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-13 23:38:47 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-13 14:23:21 ----A---- C:\WINDOWS\wininit.ini
2009-07-13 12:19:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-13 11:24:42 ----D---- C:\Programme\CCleaner
2009-07-13 11:20:25 ----D---- C:\WINDOWS\pss
2009-07-13 10:02:17 ----D---- C:\Programme\Trend Micro
2009-07-11 15:51:00 ----A---- C:\WINDOWS\system32\CmdLineExt03.dll
2009-07-11 15:21:25 ----D---- C:\Programme\ANNO 1503 Königs- Edition
2009-07-11 15:01:08 ----D---- C:\Programme\DAEMON Tools Toolbar
2009-07-11 15:00:41 ----D---- C:\Programme\DAEMON Tools Lite
2009-07-11 14:51:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-07-11 14:42:18 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DAEMON Tools Lite
2009-07-06 12:06:53 ----D---- C:\Programme\GameSpy Arcade
2009-07-06 11:50:12 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Help
2009-07-06 11:45:47 ----D---- C:\Programme\Smart Projects
2009-06-29 15:18:38 ----D---- C:\WINDOWS\Minidump
2009-06-28 14:40:50 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Media Player Classic
2009-06-28 13:06:36 ----D---- C:\Programme\XP Codec Pack

======List of files/folders modified in the last 1 months======

2009-07-23 11:55:44 ----D---- C:\WINDOWS\Internet Logs
2009-07-23 11:32:30 ----D---- C:\WINDOWS\Temp
2009-07-23 11:32:19 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-23 11:31:14 ----D---- C:\WINDOWS\system32\drivers
2009-07-23 11:30:45 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-23 09:52:07 ----D---- C:\WINDOWS\system32
2009-07-23 09:48:19 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-23 09:44:44 ----D---- C:\WINDOWS
2009-07-23 09:44:44 ----A---- C:\WINDOWS\system.ini
2009-07-23 09:35:38 ----SHD---- C:\WINDOWS\Installer
2009-07-23 09:32:31 ----A---- C:\WINDOWS\system32\user32.dll
2009-07-23 09:30:18 ----D---- C:\WINDOWS\AppPatch
2009-07-23 09:29:41 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-23 09:00:51 ----RASH---- C:\boot.ini
2009-07-23 08:53:43 ----D---- C:\WINDOWS\Prefetch
2009-07-22 11:03:38 ----D---- C:\Programme\Full Tilt Poker
2009-07-20 23:41:55 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\BitTorrent
2009-07-16 18:38:16 ----D---- C:\Programme\PokerStars
2009-07-15 16:02:51 ----SHD---- C:\Config.Msi
2009-07-14 20:25:07 ----D---- C:\Programme\Internet Explorer
2009-07-14 20:21:57 ----HD---- C:\WINDOWS\inf
2009-07-14 20:21:50 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-14 20:19:32 ----D---- C:\WINDOWS\Debug
2009-07-14 20:16:20 ----D---- C:\WINDOWS\Registration
2009-07-14 20:13:41 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-14 19:57:18 ----RD---- C:\Programme
2009-07-13 22:56:26 ----A---- C:\WINDOWS\system32\termsrv.dll
2009-07-13 11:38:35 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DNA
2009-07-13 11:22:00 ----A---- C:\WINDOWS\win.ini
2009-07-13 09:29:37 ----D---- C:\Programme\DNA
2009-07-12 01:52:10 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-11 15:20:45 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-07-07 08:10:58 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-01 09:34:29 ----D---- C:\Programme\Duke Nukem 3D Atomic Edition 1.5 (Original DOS)
2009-06-24 15:42:02 ----D---- C:\Eig

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2003-10-28 153088]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-06-21 807998]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2009-05-06 9856]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-06-13 578752]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 arz700j7;arz700j7; C:\WINDOWS\system32\drivers\arz700j7.sys []
S3 catchme;catchme; \??\C:\DOKUME~1\Besitzer\LOKALE~1\Temp\catchme.sys []
S3 hSONYPVh;hSONYPVh; \??\C:\DOKUME~1\Besitzer\LOKALE~1\Temp\hSONYPVh.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-06-10 185089]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-06-19 152984]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

Hier das RSIT info.txt - File
(Sieht doch alles mittlerweile ziemlich gut aus oder täusche ich mich da?)


info.txt logfile of random's system information tool 1.06 2009-07-23 12:04:40

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee 6.0 PowerPack Trial-->MsiExec.exe /I{3BAD741E-5C60-4BAE-9A83-90C92FE9B500}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ANNO 1503 Königs- Edition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DB833EF9-A198-49BE-970A-BD46F30BFBB4}\setup.exe" -l0x7
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Elecard MPEG-2 Decoder&Streaming Plug-in for WMP-->"C:\Programme\Elecard\Elecard MPEG-2 Decoder&Streaming Plug-in for WMP\Uninstall.exe" "C:\Programme\Elecard\Elecard MPEG-2 Decoder&Streaming Plug-in for WMP\install.log" -u
eMule-->"C:\Programme\eMule\Uninstall.exe"
Full Tilt Poker.Net-->"C:\Programme\InstallShield Installation Information\{E07B7A31-E160-466D-A003-3BB7B8989D52}\setup.exe" -runfromtemp -l0x0007 -removeonly
Full Tilt Poker-->"C:\Programme\InstallShield Installation Information\{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}\setup.exe" -runfromtemp -l0x0007 -removeonly
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Intel(R) Extreme Graphics Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2562
Intel(R) PRO Network Adapters and Drivers-->Prounstl.exe
IsoBuster 2.5-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe"
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Joe-->MsiExec.exe /X{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.10)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585}
PlayFLV-->"C:\Programme\PlayFLV\uninstall.exe"
PokerStars-->"C:\Programme\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8 (KB968220)-->"C:\WINDOWS\ie8updates\KB968220-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
WinAce Archiver-->"C:\Programme\WinAce\SXUNINST.EXE" "C:\Programme\WinAce\SXUNINST.INI"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XP Codec Pack-->C:\Programme\XP Codec Pack\Uninstall.exe
ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

=====HijackThis Backups=====

O23 - Service: Warndienst AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\bdpnxjpdyy.exe (file missing) [2009-07-13]
O23 - Service: Warndienst AlerterAlerterALG (AlerterAlerterALG) - Unknown owner - C:\WINDOWS\TEMP\lnsmvmcvwv.exe (file missing) [2009-07-13]
O23 - Service: Warndienst AlerterAlerterALG (AlerterAlerterALG) - Unknown owner - C:\WINDOWS\TEMP\lnsmvmcvwv.exe (file missing) [2009-07-13]
O23 - Service: Warndienst AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\bdpnxjpdyy.exe (file missing) [2009-07-13]

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: AntiVir Desktop
FW: ZoneAlarm Firewall (disabled)

======System event log======

Computer Name: PRIVAT
Event Code: 17
Message: AVGNTFLT successfully loaded

Record Number: 1464
Source Name: avgntflt
Time Written: 20090604100054.000000+120
Event Type: Informationen
User:

Computer Name: PRIVAT
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 1463
Source Name: EventLog
Time Written: 20090604100025.000000+120
Event Type: Informationen
User:

Computer Name: PRIVAT
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 1462
Source Name: EventLog
Time Written: 20090604100025.000000+120
Event Type: Informationen
User:

Computer Name: PRIVAT
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 1461
Source Name: EventLog
Time Written: 20090604093959.000000+120
Event Type: Informationen
User:

Computer Name: PRIVAT
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 1460
Source Name: Service Control Manager
Time Written: 20090604082754.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: PRIVAT
Event Code: 4113
Message: AntiVir erkannte in der Datei
C:\Eig\Bild\Bild1\0010695.jpg
verdächtigen Code mit der Bezeichnung 'BDS/Pcclient.VBQ'!

Record Number: 5
Source Name: Avira AntiVir
Time Written: 20090608030600.000000+120
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: PRIVAT
Event Code: 4113
Message: AntiVir erkannte in der Datei
C:\Eig\Bild\Bild1\0000584.jpg
verdächtigen Code mit der Bezeichnung 'SPR/KeyLog.G'!

Record Number: 4
Source Name: Avira AntiVir
Time Written: 20090607222745.000000+120
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: PRIVAT
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 3
Source Name: Avira AntiVir
Time Written: 20090607215743.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: PRIVAT
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 2
Source Name: SecurityCenter
Time Written: 20090607215732.000000+120
Event Type: Informationen
User:

Computer Name: PRIVAT
Event Code: 1000
Message: Fehlgeschlagene Anwendung eteraser.exe, Version 9.0.0.234, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x7e4244c6.

Record Number: 1
Source Name: Application Error
Time Written: 20090607215414.000000+120
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Gemeinsame Dateien\DivX Shared;C:\Programme\QuickTime\QTSystem;C:\Programme\Smart Projects\IsoBuster
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 1 Stepping 3, GenuineIntel
"PROCESSOR_REVISION"=0103
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"tvdumpflags"=8
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Achja,

so wie es aussieht, ist das System wohl mittlerweile ziemlich sauber (na hoffentlich?!). Das ComboFix scheint ziemlich agressiv und gut zu sein. Die Frage, die ich mir jetzt noch stelle ist: Wie verhindere ich, dass trotz ZoneAlarm + AntiVir (mittlerweile mit der vorgeschlagenen agressiven Einstellung) sich der nächste Trojaner an Bord schleicht? So wie es aussieht, kann ich ja derzeit die beiden Programme gefahrlos abschalten, da die beiden wohl nix erkennen und somit unwirksam sind. Brauch ich noch nen Trojaner-Wächter? Das kanns ja nicht sein...

Vielen Dank und viele Grüsse
Emanuel

Hi,

sicherheitshalber folgende Files prüfen lassen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\termsrv.dll
c:\windows\system32\user32.dll
C:\WINDOWS\system32\drivers\arz700j7.sys
C:\Eig\Bild\Bild1\0010695.jpg
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-a...tellungen.html

chris
Ps.: Unwirksam sind sie nicht, die meiste Gefahr geht eigentlich vom User aus... (was klickt er an,...).
Ein eingeschränktes Konto anlegen, Firefox mit WOT und NoScript installieren und nutzen, einen Verhaltensscanner nachrüsten (z. B. Threadfire (http://www.threatfire.com/download/) oder in Kombination mit einer Firewall online Armor (http://www.tallemu.de/software/free/). Beide laufen mit Avira gut zusammen und ergänzen sich gut... Zonealarm würde ich runterschmeissen...
Wichtig: entweder Threadfire oder Online Amor, nicht beides gleichzeitig...

\termsrv.dll

File size: 215552 bytes
MD5...: a77219a971029dc2fb683e8513713803
SHA1..: 1c456520a7b7faf71900c71167038185f5a7d312
SHA256: 1eba9a909641e64e935090956b03182335d298cad78052cef3b3f75691eb3f50
ssdeep: 3072:PtNuBp/YIDqobOlqVLBBjAg79G1T65ZF8p5LGvPEDRRQLUMPZU2GdH8CN9u
iecd:PtNuBSID4AVdVAWF8p5L2ECPZzCN1

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6648
timedatestamp.....: 0x3fdfda9a (Wed Dec 17 04:24:58 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2cc8a 0x2ce00 6.56 b626bccaad78857433a671be7353bee0
.data 0x2e000 0x99d8 0xc00 4.43 8242f339c32cd3226503a5e25712d30e
.rsrc 0x38000 0x3e68 0x4000 3.25 4ca44ce0719eae9a18d22e84f51bf714
.reloc 0x3c000 0x2a6e 0x2c00 6.27 c857ed44146f9d2d52508e4c41014875

( 13 imports )
> KERNEL32.dll: InitializeCriticalSection, FileTimeToSystemTime, GetDateFormatW, GetDiskFreeSpaceA, GlobalMemoryStatus, GetLocalTime, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetCurrentThreadId, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, lstrcpynW, GetACP, MultiByteToWideChar, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, WideCharToMultiByte, GetComputerNameExW, PulseEvent, GetCurrentProcess, LocalSize, GetCurrentThread, SetThreadPriority, GetWindowsDirectoryW, GetProfileIntW, lstrcmpiW, lstrcatW, GetTickCount, GetProfileStringW, LoadLibraryW, GetProcAddress, FreeLibrary, GetComputerNameW, OpenProcess, IsBadWritePtr, IsBadReadPtr, ExitThread, lstrcpyW, InterlockedIncrement, WaitForSingleObject, GetSystemTimeAsFileTime, GetComputerNameA, GetSystemTime, GetSystemDirectoryW, CreateFileW, CreateThread, InterlockedDecrement, OpenMutexW, OpenEventW, WaitForMultipleObjects, OpenFileMappingW, MapViewOfFile, UnmapViewOfFile, CreateMutexW, CompareFileTime, CreateWaitableTimerW, SetWaitableTimer, FormatMessageW, GetSystemDefaultLCID, SystemTimeToFileTime, LoadLibraryExW, DelayLoadFailureHook, ReleaseMutex, GetLastError, CreateEventW, VerSetConditionMask, VerifyVersionInfoW, SetEvent, ResetEvent, GetVersionExW, IsDebuggerPresent, GetCurrentProcessId, CreateProcessW, CloseHandle, Sleep, DebugBreak, DisableThreadLibraryCalls, GetProcessHeap, LocalAlloc, SetLastError, LocalFree, lstrlenW, GetVersion
> msvcrt.dll: qsort, strncpy, gmtime, time, mktime, _mbslen, mbstowcs, wcscpy, _wcsicmp, wcscmp, _except_handler3, _wcsnicmp, wcscat, swscanf, wcslen, wcsncpy, swprintf, memmove, _snwprintf, wcschr, sprintf, __3@YAXPAX@Z, __2@YAPAXI@Z, _vsnwprintf, _purecall
> ntdll.dll: RtlInitializeResource, NtCreateEvent, RtlAnsiStringToUnicodeString, NtQuerySystemTime, RtlEqualSid, RtlAdjustPrivilege, RtlInitializeCriticalSection, NtTerminateProcess, NtQueryMutant, NtReleaseMutant, NtWaitForSingleObject, NtCreateMutant, NtQueryInformationProcess, NtDuplicateToken, NtSetInformationThread, RtlpNtEnumerateSubKey, NtRequestPort, NtConnectPort, RtlInitAnsiString, RtlQueryRegistryValues, NtDeviceIoControlFile, RtlExtendedLargeIntegerDivide, NtSetTimer, NtCreateTimer, RtlCopySecurityDescriptor, RtlNtStatusToDosError, RtlDeleteAce, RtlDeleteElementGenericTable, RtlQueryInformationAcl, NtSetEvent, RtlEnterCriticalSection, RtlAllocateHeap, RtlFreeHeap, RtlLeaveCriticalSection, RtlAcquireResourceExclusive, RtlReleaseResource, RtlInitUnicodeString, NtOpenKey, NtQueryValueKey, NtClose, RtlInsertElementGenericTable, RtlCompareMemory, RtlConvertExclusiveToShared, RtlConvertSharedToExclusive, RtlDeleteResource, NtRequestWaitReplyPort, RtlGetDaclSecurityDescriptor, RtlMapGenericMask, RtlSubAuthoritySid, RtlInitializeSid, RtlCreateUserSecurityObject, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateEnvironment, RtlSetProcessIsCritical, DbgPrint, NtQuerySystemInformation, RtlLookupElementGenericTable, RtlDeleteCriticalSection, RtlInitializeGenericTable, RtlCreateAcl, RtlCreateSecurityDescriptor, NtWaitForMultipleObjects, NtResetEvent, NtOpenProcess, RtlPrefixUnicodeString, DbgBreakPoint, NtDelayExecution, RtlAcquireResourceShared, NtFreeVirtualMemory, NtAllocateVirtualMemory, RtlCopySid, RtlLengthSid, NtQueryInformationToken, NtOpenProcessToken, RtlLengthRequiredSid, NtOpenThreadToken, NtReplyPort, NtCompleteConnectPort, NtAcceptConnectPort, NtCreateSection, NtReplyWaitReceivePort, RtlFreeUnicodeString, RtlGetAce, NtCreatePort, RtlWriteRegistryValue, RtlCreateRegistryKey, RtlLengthSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, NtSetSecurityObject, NtQuerySecurityObject, NtOpenSymbolicLinkObject, NtQueryDirectoryObject, NtCreateDirectoryObject, RtlFreeSid, RtlAllocateAndInitializeSid, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, NtDuplicateObject
> ICAAPI.dll: IcaStackCallback, IcaStackClose, IcaStackDisconnect, IcaStackOpen, _IcaStackIoControl, IcaOpen, IcaIoControl, IcaStackConnectionClose, IcaChannelIoControl, IcaChannelOpen, IcaPushConsoleStack, IcaStackIoControl, IcaChannelClose, IcaStackTerminate, IcaStackReconnect, IcaStackUnlock, IcaStackConnectionAccept, IcaStackConnectionRequest, IcaClose, IcaStackConnectionWait
> RPCRT4.dll: RpcServerListen, RpcServerUseProtseqEpW, RpcRaiseException, RpcServerInqDefaultPrincNameW, NdrServerCall2, RpcServerRegisterIf, RpcServerRegisterAuthInfoW, RpcServerRegisterIfEx, RpcBindingToStringBindingW, RpcStringBindingParseW, RpcStringFreeW, RpcImpersonateClient, I_RpcBindingIsClientLocal, RpcRevertToSelf, RpcSsContextLockExclusive
> USER32.dll: LoadStringW, MessageBeep, ExitWindowsEx, wsprintfW, GetMessageTime, GetCursorPos
> Secur32.dll: GetUserNameExW
> WS2_32.dll: -, -, -, -, -, getaddrinfo
> ADVAPI32.dll: OpenThreadToken, I_ScSendTSMessage, RegCreateKeyExW, LsaStorePrivateData, LsaNtStatusToWinError, LsaRetrievePrivateData, RegDeleteValueW, RegDeleteKeyW, ElfReportEventW, LsaQueryInformationPolicy, GetEventLogInformation, LsaQuerySecret, LsaFreeMemory, LsaOpenPolicy, LsaCreateSecret, LsaOpenSecret, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, SetServiceStatus, GetUserNameW, RegOpenKeyW, SetServiceBits, ReportEventW, RegisterEventSourceW, RegisterServiceCtrlHandlerW, CryptHashData, CryptReleaseContext, CryptDestroyHash, CryptDestroyKey, CryptVerifySignatureW, CryptImportKey, CryptCreateHash, CryptAcquireContextW, DeregisterEventSource, RegEnumKeyW, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, SetEntriesInAclW, AllocateAndInitializeSid, AccessCheckAndAuditAlarmW, GetSidSubAuthority, GetSidSubAuthorityCount, GetSidIdentifierAuthority, IsValidSid, GetTokenInformation, EqualSid, LookupAccountSidW, RegSetValueExW, CryptGenRandom, LogonUserW, AddAccessAllowedAce, InitializeAcl, GetLengthSid, ElfRegisterEventSourceW, CheckTokenMembership, MakeSelfRelativeSD, MakeAbsoluteSD, IsValidSecurityDescriptor, OpenProcessToken, AddAce, GetAce, GetAclInformation, GetSecurityDescriptorDacl, LsaDelete, LsaSetSecret, LsaClose, GetUserNameA
> CRYPT32.dll: CertGetIssuerCertificateFromStore, CryptBinaryToStringW, CryptVerifyCertificateSignature, CertFreeCertificateContext, CryptDecodeObject, CertDuplicateCertificateContext, CertCloseStore, CertOpenStore, CertEnumCertificatesInStore
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> AUTHZ.dll: AuthziInitializeAuditEvent, AuthziInitializeAuditEventType, AuthzInitializeResourceManager, AuthziFreeAuditParams, AuthzFreeAuditEvent, AuthziLogAuditEvent, AuthziFreeAuditEventType, AuthziInitializeAuditParamsWithRM, AuthziAllocateAuditParams, AuthzFreeResourceManager
> mstlsapi.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 1 exports )
ServiceMain

PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=a77219a971029dc2fb683e8513713803' target='_blank'>http://www.threatexpert.com/report.aspx?md5=a77219a971029dc2fb683e8513713803</a>

\user32.dll

File size: 580096 bytes
MD5...: b0050cc5340e3a0760dd8b417ff7aebd
SHA1..: fc8349dac9fda2d67cf9bea5da2911f59cc72fd0
SHA256: 340c042c78e55824f2d84d83e03e6c5ca0f44b329245ac2f4c034f2cb4306f53
ssdeep: 6144:QStUG2qbvmfPYjo6QK86tQGdscawPX10BhTruuGVuKtNYmLlLyUTuyGEDSu
3ZmDt:l2++fsZ86q5caW0VhG86xxcEPZm2nG

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb217
timedatestamp.....: 0x4802bfb7 (Mon Apr 14 02:21:43 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5f283 0x5f400 6.66 49159a88fcced1e15261a56771d9709b
.data 0x61000 0x1180 0xc00 2.37 775119e98796af9b8a849dd1f6e4f377
.rsrc 0x63000 0x2a7bc 0x2a800 5.00 ab0716ca00fe22c6cb46856e79f46656
.reloc 0x8e000 0x2de4 0x2e00 6.77 68ebe5a2d822be0663a3e935b39d0bae

( 3 imports )
> GDI32.dll: GetClipRgn, ExtSelectClipRgn, GetHFONT, GetMapMode, SetGraphicsMode, GetClipBox, CreateRectRgn, CreateRectRgnIndirect, SetLayout, GetBoundsRect, ExcludeClipRect, PlayEnhMetaFile, GdiGetBitmapBitsSize, CreatePen, Ellipse, CreateEllipticRgn, GdiFixUpHandle, GetTextCharacterExtra, SetTextCharacterExtra, GetCurrentObject, GetViewportOrgEx, SetViewportOrgEx, PolyPatBlt, CreateBrushIndirect, SetBoundsRect, CopyEnhMetaFileW, CopyMetaFileW, GetPaletteEntries, CreatePalette, SetPaletteEntries, bInitSystemAndFontsDirectoriesW, bMakePathNameW, cGetTTFFromFOT, GetPixel, ExtTextOutA, GetTextCharsetInfo, QueryFontAssocStatus, GetCharWidthInfo, GetCharWidthA, GetTextFaceW, GetCharABCWidthsA, GetCharABCWidthsW, SetBrushOrgEx, CreateFontIndirectW, EnumFontsW, GetTextFaceAliasW, GetTextMetricsW, GetTextColor, GetBkMode, GetViewportExtEx, GetWindowExtEx, GdiGetCharDimensions, GdiGetCodePage, GetTextCharset, GdiPrinterThunk, GdiAddFontResourceW, TranslateCharsetInfo, SaveDC, OffsetWindowOrgEx, RestoreDC, ExtTextOutW, GetObjectType, GetDIBits, CreateDIBSection, SetStretchBltMode, SelectPalette, RealizePalette, SetDIBits, CreateDCW, CreateDIBitmap, CreateCompatibleBitmap, SetBitmapBits, DeleteDC, GdiValidateHandle, GdiDllInitialize, CreateSolidBrush, GetStockObject, CreateCompatibleDC, GdiConvertBitmapV5, GdiCreateLocalEnhMetaFile, GdiCreateLocalMetaFilePict, GetRgnBox, CombineRgn, OffsetRgn, MirrorRgn, EnableEUDC, GdiConvertToDevmodeW, GetTextExtentPointA, GetTextExtentPointW, CreateBitmap, SetLayoutWidth, PatBlt, TextOutA, TextOutW, BitBlt, GdiConvertAndCheckDC, StretchBlt, SetRectRgn, GdiReleaseDC, GdiConvertEnhMetaFile, GdiConvertMetaFilePict, DeleteEnhMetaFile, DeleteMetaFile, DeleteObject, GetDIBColorTable, GetDeviceCaps, StretchDIBits, GetLayout, SetBkColor, SetTextColor, GetObjectW, GetBkColor, SetBkMode, SelectObject, IntersectClipRect, GetTextAlign, SetTextAlign, GdiProcessSetup
> KERNEL32.dll: LocalSize, SizeofResource, LoadResource, FindResourceExW, FindResourceExA, GetModuleHandleW, DisableThreadLibraryCalls, GetCurrentThreadId, IsDBCSLeadByteEx, SearchPathW, ExpandEnvironmentStringsW, LoadLibraryExW, GlobalAddAtomW, GetSystemDirectoryW, GetComputerNameW, GetCurrentProcess, GetCurrentThread, ExitThread, GetExitCodeThread, CreateThread, HeapReAlloc, GlobalHandle, FoldStringW, Sleep, GetStringTypeW, GetStringTypeA, GetCPInfo, HeapSize, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, ReadFile, SetFileTime, GetFileTime, GetSystemWindowsDirectoryW, CopyFileW, MoveFileW, DeleteFileW, CreateProcessW, AddAtomA, AddAtomW, GetAtomNameW, GetAtomNameA, IsValidLocale, ConvertDefaultLocale, CompareStringW, GetCurrentDirectoryW, SetCurrentDirectoryW, lstrlenW, GetLogicalDrives, FindClose, FindNextFileW, FindFirstFileW, GetThreadLocale, ProcessIdToSessionId, GetCurrentProcessId, InterlockedCompareExchange, IsDBCSLeadByte, LCMapStringW, QueryPerformanceCounter, QueryPerformanceFrequency, GetTickCount, lstrlenA, GlobalFindAtomA, GetModuleFileNameA, GetModuleHandleA, GlobalAddAtomA, DelayLoadFailureHook, LoadLibraryA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LocalUnlock, LocalLock, LocalReAlloc, GetACP, GetOEMCP, InterlockedIncrement, InterlockedDecrement, SetLastError, GlobalFindAtomW, GlobalAlloc, MultiByteToWideChar, GlobalReAlloc, GetLastError, GetProcAddress, LoadLibraryW, FreeLibrary, lstrcpynW, CreateFileW, WritePrivateProfileStringW, lstrcmpiW, SetEvent, WaitForMultipleObjectsEx, WideCharToMultiByte, GlobalFlags, GetLocaleInfoW, GlobalFree, GetModuleFileNameW, GlobalGetAtomNameW, GlobalGetAtomNameA, InterlockedExchange, DeleteAtom, LocalAlloc, GlobalDeleteAtom, LocalFree, GlobalSize, GlobalLock, GlobalUnlock, GetUserDefaultLCID, HeapAlloc, HeapFree, lstrcpyW, lstrcatW, GetPrivateProfileStringW, RegisterWaitForInputIdle
> ntdll.dll: NtQueryVirtualMemory, RtlUnwind, RtlNtStatusToDosError, NlsAnsiCodePage, RtlAllocateHeap, qsort, RtlMultiByteToUnicodeSize, LdrFlushAlternateResourceModules, RtlPcToFileHeader, wcsrchr, NtRaiseHardError, RtlIsNameLegalDOS8Dot3, strrchr, sscanf, NtQueryKey, NtEnumerateValueKey, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString, _wcsicmp, CsrAllocateCaptureBuffer, CsrCaptureMessageBuffer, CsrFreeCaptureBuffer, NtOpenThreadToken, NtOpenProcessToken, NtQueryInformationToken, CsrClientCallServer, memmove, NtCallbackReturn, RtlUnicodeToMultiByteSize, RtlActivateActivationContextUnsafeFast, RtlDeactivateActivationContextUnsafeFast, RtlInitializeCriticalSection, NtQuerySystemInformation, swprintf, RtlDeleteCriticalSection, RtlImageNtHeader, CsrClientConnectToServer, NtYieldExecution, NtCreateKey, NtSetValueKey, NtDeleteValueKey, RtlQueryInformationActiveActivationContext, RtlReleaseActivationContext, RtlFreeHeap, wcsncpy, wcscmp, wcstoul, wcscat, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlCreateUnicodeStringFromAsciiz, RtlFreeUnicodeString, NtOpenDirectoryObject, _chkstk, wcscpy, wcsncat, NtSetSecurityObject, NtQuerySecurityObject, NtQueryInformationProcess, wcstol, wcslen, RtlFindActivationContextSectionString, RtlMultiByteToUnicodeN, RtlUnicodeToMultiByteN, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlOpenCurrentUser, NtEnumerateKey, NtOpenKey, NtClose, NtQueryValueKey, RtlInitUnicodeString, RtlUnicodeStringToInteger

( 732 exports )
ActivateKeyboardLayout, AdjustWindowRect, AdjustWindowRectEx, AlignRects, AllowForegroundActivation, AllowSetForegroundWindow, AnimateWindow, AnyPopup, AppendMenuA, AppendMenuW, ArrangeIconicWindows, AttachThreadInput, BeginDeferWindowPos, BeginPaint, BlockInput, BringWindowToTop, BroadcastSystemMessage, BroadcastSystemMessageA, BroadcastSystemMessageExA, BroadcastSystemMessageExW, BroadcastSystemMessageW, BuildReasonArray, CalcMenuBar, CallMsgFilter, CallMsgFilterA, CallMsgFilterW, CallNextHookEx, CallWindowProcA, CallWindowProcW, CascadeChildWindows, CascadeWindows, ChangeClipboardChain, ChangeDisplaySettingsA, ChangeDisplaySettingsExA, ChangeDisplaySettingsExW, ChangeDisplaySettingsW, ChangeMenuA, ChangeMenuW, CharLowerA, CharLowerBuffA, CharLowerBuffW, CharLowerW, CharNextA, CharNextExA, CharNextW, CharPrevA, CharPrevExA, CharPrevW, CharToOemA, CharToOemBuffA, CharToOemBuffW, CharToOemW, CharUpperA, CharUpperBuffA, CharUpperBuffW, CharUpperW, CheckDlgButton, CheckMenuItem, CheckMenuRadioItem, CheckRadioButton, ChildWindowFromPoint, ChildWindowFromPointEx, CliImmSetHotKey, ClientThreadSetup, ClientToScreen, ClipCursor, CloseClipboard, CloseDesktop, CloseWindow, CloseWindowStation, CopyAcceleratorTableA, CopyAcceleratorTableW, CopyIcon, CopyImage, CopyRect, CountClipboardFormats, CreateAcceleratorTableA, CreateAcceleratorTableW, CreateCaret, CreateCursor, CreateDesktopA, CreateDesktopW, CreateDialogIndirectParamA, CreateDialogIndirectParamAorW, CreateDialogIndirectParamW, CreateDialogParamA, CreateDialogParamW, CreateIcon, CreateIconFromResource, CreateIconFromResourceEx, CreateIconIndirect, CreateMDIWindowA, CreateMDIWindowW, CreateMenu, CreatePopupMenu, CreateSystemThreads, CreateWindowExA, CreateWindowExW, CreateWindowStationA, CreateWindowStationW, CsrBroadcastSystemMessageExW, CtxInitUser32, DdeAbandonTransaction, DdeAccessData, DdeAddData, DdeClientTransaction, DdeCmpStringHandles, DdeConnect, DdeConnectList, DdeCreateDataHandle, DdeCreateStringHandleA, DdeCreateStringHandleW, DdeDisconnect, DdeDisconnectList, DdeEnableCallback, DdeFreeDataHandle, DdeFreeStringHandle, DdeGetData, DdeGetLastError, DdeGetQualityOfService, DdeImpersonateClient, DdeInitializeA, DdeInitializeW, DdeKeepStringHandle, DdeNameService, DdePostAdvise, DdeQueryConvInfo, DdeQueryNextServer, DdeQueryStringA, DdeQueryStringW, DdeReconnect, DdeSetQualityOfService, DdeSetUserHandle, DdeUnaccessData, DdeUninitialize, DefDlgProcA, DefDlgProcW, DefFrameProcA, DefFrameProcW, DefMDIChildProcA, DefMDIChildProcW, DefRawInputProc, DefWindowProcA, DefWindowProcW, DeferWindowPos, DeleteMenu, DeregisterShellHookWindow, DestroyAcceleratorTable, DestroyCaret, DestroyCursor, DestroyIcon, DestroyMenu, DestroyReasons, DestroyWindow, DeviceEventWorker, DialogBoxIndirectParamA, DialogBoxIndirectParamAorW, DialogBoxIndirectParamW, DialogBoxParamA, DialogBoxParamW, DisableProcessWindowsGhosting, DispatchMessageA, DispatchMessageW, DisplayExitWindowsWarnings, DlgDirListA, DlgDirListComboBoxA, DlgDirListComboBoxW, DlgDirListW, DlgDirSelectComboBoxExA, DlgDirSelectComboBoxExW, DlgDirSelectExA, DlgDirSelectExW, DragDetect, DragObject, DrawAnimatedRects, DrawCaption, DrawCaptionTempA, DrawCaptionTempW, DrawEdge, DrawFocusRect, DrawFrame, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawMenuBarTemp, DrawStateA, DrawStateW, DrawTextA, DrawTextExA, DrawTextExW, DrawTextW, EditWndProc, EmptyClipboard, EnableMenuItem, EnableScrollBar, EnableWindow, EndDeferWindowPos, EndDialog, EndMenu, EndPaint, EndTask, EnterReaderModeHelper, EnumChildWindows, EnumClipboardFormats, EnumDesktopWindows, EnumDesktopsA, EnumDesktopsW, EnumDisplayDevicesA, EnumDisplayDevicesW, EnumDisplayMonitors, EnumDisplaySettingsA, EnumDisplaySettingsExA, EnumDisplaySettingsExW, EnumDisplaySettingsW, EnumPropsA, EnumPropsExA, EnumPropsExW, EnumPropsW, EnumThreadWindows, EnumWindowStationsA, EnumWindowStationsW, EnumWindows, EqualRect, ExcludeUpdateRgn, ExitWindowsEx, FillRect, FindWindowA, FindWindowExA, FindWindowExW, FindWindowW, FlashWindow, FlashWindowEx, FrameRect, FreeDDElParam, GetActiveWindow, GetAltTabInfo, GetAltTabInfoA, GetAltTabInfoW, GetAncestor, GetAppCompatFlags, GetAppCompatFlags2, GetAsyncKeyState, GetCapture, GetCaretBlinkTime, GetCaretPos, GetClassInfoA, GetClassInfoExA, GetClassInfoExW, GetClassInfoW, GetClassLongA, GetClassLongW, GetClassNameA, GetClassNameW, GetClassWord, GetClientRect, GetClipCursor, GetClipboardData, GetClipboardFormatNameA, GetClipboardFormatNameW, GetClipboardOwner, GetClipboardSequenceNumber, GetClipboardViewer, GetComboBoxInfo, GetCursor, GetCursorFrameInfo, GetCursorInfo, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetDialogBaseUnits, GetDlgCtrlID, GetDlgItem, GetDlgItemInt, GetDlgItemTextA, GetDlgItemTextW, GetDoubleClickTime, GetFocus, GetForegroundWindow, GetGUIThreadInfo, GetGuiResources, GetIconInfo, GetInputDesktop, GetInputState, GetInternalWindowPos, GetKBCodePage, GetKeyNameTextA, GetKeyNameTextW, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardLayoutNameA, GetKeyboardLayoutNameW, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetLastInputInfo, GetLayeredWindowAttributes, GetListBoxInfo, GetMenu, GetMenuBarInfo, GetMenuCheckMarkDimensions, GetMenuContextHelpId, GetMenuDefaultItem, GetMenuInfo, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuItemInfoW, GetMenuItemRect, GetMenuState, GetMenuStringA, GetMenuStringW, GetMessageA, GetMessageExtraInfo, GetMessagePos, GetMessageTime, GetMessageW, GetMonitorInfoA, GetMonitorInfoW, GetMouseMovePointsEx, GetNextDlgGroupItem, GetNextDlgTabItem, GetOpenClipboardWindow, GetParent, GetPriorityClipboardFormat, GetProcessDefaultLayout, GetProcessWindowStation, GetProgmanWindow, GetPropA, GetPropW, GetQueueStatus, GetRawInputBuffer, GetRawInputData, GetRawInputDeviceInfoA, GetRawInputDeviceInfoW, GetRawInputDeviceList, GetReasonTitleFromReasonCode, GetRegisteredRawInputDevices, GetScrollBarInfo, GetScrollInfo, GetScrollPos, GetScrollRange, GetShellWindow, GetSubMenu, GetSysColor, GetSysColorBrush, GetSystemMenu, GetSystemMetrics, GetTabbedTextExtentA, GetTabbedTextExtentW, GetTaskmanWindow, GetThreadDesktop, GetTitleBarInfo, GetTopWindow, GetUpdateRect, GetUpdateRgn, GetUserObjectInformationA, GetUserObjectInformationW, GetUserObjectSecurity, GetWinStationInfo, GetWindow, GetWindowContextHelpId, GetWindowDC, GetWindowInfo, GetWindowLongA, GetWindowLongW, GetWindowModuleFileName, GetWindowModuleFileNameA, GetWindowModuleFileNameW, GetWindowPlacement, GetWindowRect, GetWindowRgn, GetWindowRgnBox, GetWindowTextA, GetWindowTextLengthA, GetWindowTextLengthW, GetWindowTextW, GetWindowThreadProcessId, GetWindowWord, GrayStringA, GrayStringW, HideCaret, HiliteMenuItem, IMPGetIMEA, IMPGetIMEW, IMPQueryIMEA, IMPQueryIMEW, IMPSetIMEA, IMPSetIMEW, ImpersonateDdeClientWindow, InSendMessage, InSendMessageEx, InflateRect, InitializeLpkHooks, InitializeWin32EntryTable, InsertMenuA, InsertMenuItemA, InsertMenuItemW, InsertMenuW, InternalGetWindowText, IntersectRect, InvalidateRect, InvalidateRgn, InvertRect, IsCharAlphaA, IsCharAlphaNumericA, IsCharAlphaNumericW, IsCharAlphaW, IsCharLowerA, IsCharLowerW, IsCharUpperA, IsCharUpperW, IsChild, IsClipboardFormatAvailable, IsDialogMessage, IsDialogMessageA, IsDialogMessageW, IsDlgButtonChecked, IsGUIThread, IsHungAppWindow, IsIconic, IsMenu, IsRectEmpty, IsServerSideWindow, IsWinEventHookInstalled, IsWindow, IsWindowEnabled, IsWindowInDestroy, IsWindowUnicode, IsWindowVisible, IsZoomed, KillSystemTimer, KillTimer, LoadAcceleratorsA, LoadAcceleratorsW, LoadBitmapA, LoadBitmapW, LoadCursorA, LoadCursorFromFileA, LoadCursorFromFileW, LoadCursorW, LoadIconA, LoadIconW, LoadImageA, LoadImageW, LoadKeyboardLayoutA, LoadKeyboardLayoutEx, LoadKeyboardLayoutW, LoadLocalFonts, LoadMenuA, LoadMenuIndirectA, LoadMenuIndirectW, LoadMenuW, LoadRemoteFonts, LoadStringA, LoadStringW, LockSetForegroundWindow, LockWindowStation, LockWindowUpdate, LockWorkStation, LookupIconIdFromDirectory, LookupIconIdFromDirectoryEx, MBToWCSEx, MB_GetString, MapDialogRect, MapVirtualKeyA, MapVirtualKeyExA, MapVirtualKeyExW, MapVirtualKeyW, MapWindowPoints, MenuItemFromPoint, MenuWindowProcA, MenuWindowProcW, MessageBeep, MessageBoxA, MessageBoxExA, MessageBoxExW, MessageBoxIndirectA, MessageBoxIndirectW, MessageBoxTimeoutA, MessageBoxTimeoutW, MessageBoxW, ModifyMenuA, ModifyMenuW, MonitorFromPoint, MonitorFromRect, MonitorFromWindow, MoveWindow, MsgWaitForMultipleObjects, MsgWaitForMultipleObjectsEx, NotifyWinEvent, OemKeyScan, OemToCharA, OemToCharBuffA, OemToCharBuffW, OemToCharW, OffsetRect, OpenClipboard, OpenDesktopA, OpenDesktopW, OpenIcon, OpenInputDesktop, OpenWindowStationA, OpenWindowStationW, PackDDElParam, PaintDesktop, PaintMenuBar, PeekMessageA, PeekMessageW, PostMessageA, PostMessageW, PostQuitMessage, PostThreadMessageA, PostThreadMessageW, PrintWindow, PrivateExtractIconExA, PrivateExtractIconExW, PrivateExtractIconsA, PrivateExtractIconsW, PrivateSetDbgTag, PrivateSetRipFlags, PtInRect, QuerySendMessage, QueryUserCounters, RealChildWindowFromPoint, RealGetWindowClass, RealGetWindowClassA, RealGetWindowClassW, ReasonCodeNeedsBugID, ReasonCodeNeedsComment, RecordShutdownReason, RedrawWindow, RegisterClassA, RegisterClassExA, RegisterClassExW, RegisterClassW, RegisterClipboardFormatA, RegisterClipboardFormatW, RegisterDeviceNotificationA, RegisterDeviceNotificationW, RegisterHotKey, RegisterLogonProcess, RegisterMessagePumpHook, RegisterRawInputDevices, RegisterServicesProcess, RegisterShellHookWindow, RegisterSystemThread, RegisterTasklist, RegisterUserApiHook, RegisterWindowMessageA, RegisterWindowMessageW, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, RemovePropW, ReplyMessage, ResolveDesktopForWOW, ReuseDDElParam, ScreenToClient, ScrollChildren, ScrollDC, ScrollWindow, ScrollWindowEx, SendDlgItemMessageA, SendDlgItemMessageW, SendIMEMessageExA, SendIMEMessageExW, SendInput, SendMessageA, SendMessageCallbackA, SendMessageCallbackW, SendMessageTimeoutA, SendMessageTimeoutW, SendMessageW, SendNotifyMessageA, SendNotifyMessageW, SetActiveWindow, SetCapture, SetCaretBlinkTime, SetCaretPos, SetClassLongA, SetClassLongW, SetClassWord, SetClipboardData, SetClipboardViewer, SetConsoleReserveKeys, SetCursor, SetCursorContents, SetCursorPos, SetDebugErrorLevel, SetDeskWallpaper, SetDlgItemInt, SetDlgItemTextA, SetDlgItemTextW, SetDoubleClickTime, SetFocus, SetForegroundWindow, SetInternalWindowPos, SetKeyboardState, SetLastErrorEx, SetLayeredWindowAttributes, SetLogonNotifyWindow, SetMenu, SetMenuContextHelpId, SetMenuDefaultItem, SetMenuInfo, SetMenuItemBitmaps, SetMenuItemInfoA, SetMenuItemInfoW, SetMessageExtraInfo, SetMessageQueue, SetParent, SetProcessDefaultLayout, SetProcessWindowStation, SetProgmanWindow, SetPropA, SetPropW, SetRect, SetRectEmpty, SetScrollInfo, SetScrollPos, SetScrollRange, SetShellWindow, SetShellWindowEx, SetSysColors, SetSysColorsTemp, SetSystemCursor, SetSystemMenu, SetSystemTimer, SetTaskmanWindow, SetThreadDesktop, SetTimer, SetUserObjectInformationA, SetUserObjectInformationW, SetUserObjectSecurity, SetWinEventHook, SetWindowContextHelpId, SetWindowLongA, SetWindowLongW, SetWindowPlacement, SetWindowPos, SetWindowRgn, SetWindowStationUser, SetWindowTextA, SetWindowTextW, SetWindowWord, SetWindowsHookA, SetWindowsHookExA, SetWindowsHookExW, SetWindowsHookW, ShowCaret, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowStartGlass, ShowWindow, ShowWindowAsync, SoftModalMessageBox, SubtractRect, SwapMouseButton, SwitchDesktop, SwitchToThisWindow, SystemParametersInfoA, SystemParametersInfoW, TabbedTextOutA, TabbedTextOutW, TileChildWindows, TileWindows, ToAscii, ToAsciiEx, ToUnicode, ToUnicodeEx, TrackMouseEvent, TrackPopupMenu, TrackPopupMenuEx, TranslateAccelerator, TranslateAcceleratorA, TranslateAcceleratorW, TranslateMDISysAccel, TranslateMessage, TranslateMessageEx, UnhookWinEvent, UnhookWindowsHook, UnhookWindowsHookEx, UnionRect, UnloadKeyboardLayout, UnlockWindowStation, UnpackDDElParam, UnregisterClassA, UnregisterClassW, UnregisterDeviceNotification, UnregisterHotKey, UnregisterMessagePumpHook, UnregisterUserApiHook, UpdateLayeredWindow, UpdatePerUserSystemParameters, UpdateWindow, User32InitializeImmEntryTable, UserClientDllInitialize, UserHandleGrantAccess, UserLpkPSMTextOut, UserLpkTabbedTextOut, UserRealizePalette, UserRegisterWowHandlers, VRipOutput, VTagOutput, ValidateRect, ValidateRgn, VkKeyScanA, VkKeyScanExA, VkKeyScanExW, VkKeyScanW, WCSToMBEx, WINNLSEnableIME, WINNLSGetEnableStatus, WINNLSGetIMEHotkey, WaitForInputIdle, WaitMessage, Win32PoolAllocationStats, WinHelpA, WinHelpW, WindowFromDC, WindowFromPoint, keybd_event, mouse_event, wsprintfA, wsprintfW, wvsprintfA, wvsprintfW

PDFiD.: -
RDS...: NSRL Reference Data Set

Hi,

Danke. Hat einer der Scanner was ungewöhnliches gemeldet (das geht leider nicht daraus hervor)... CF hat die user32.dll gepached (war inifziert), die andere unterscheidet sich von denen die der Rechner ursprünglich drauf hat (kann aber auch wegen update sein)...

Den Edit im ursprünglichen Post mit den Empfehlungen hast Du gesehen?

Zur Sicherheit noch die Systemwiederherstellung löschen
http://www.systemwiederherstellung-d...indows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

chris

Hallo Chris,

anbei die beiden Logs. Die anderen beiden Dateien - arz700j7.sys sowie das Bild befinden sich nicht mehr auf dem Rechner.
Die Explorer-Einstellungen sind bei mir `ne Standardsache sofort nach Kauf und Avira updatet jeden Tag (bin ja eigentlich vom Fach aber ab und an wohl ein wenig zu sorglos *gg*).
Die erstere Datei wurde wohl bei einer Bereinigung gelöscht und das Bild ist schon lange weg.

Vielen Dank nochmal für die Hilfe und dann werd ich mich mal auf die Suche nach ner vernünftigen Firewall-Lösung machen.

Emanuel

Hi Chris,

ne beide sagten nix verdächtiges.

vg Emanuel

Hi,

dann sollten wir damit durch sein...

chris

Tja,

ich kann die Systemwiederherstellung leider nicht deaktivieren, da ich sie nicht auswählen kann. Bin als Admin angemeldet. Hab hier XP-Home. Vielleicht liegts daran.

vg Emanuel