Hi,

das was MAM gefunden hat sind Reste von den Teilen (Reg-Einträge)...
Den Fund von Avira bitte mal aus der Quarantäne raus bei Virustotal.com prüfen lassen und Ergebnis posten....

Bitte CF deinstallieren (Start->Ausführen combofix /u) und noch mal runterladen und laufen lassen, Log posten...

chris

wollte inzwischen GMER nochmal laufen lassen, anscheinend ist der PC aber dabei abgestürzt (Windows wird nach einem schwerwiegenden Fehler wieder ausgeführt...)
Dafür geht jetzt der FF wieder (???) :-) (selbiges gilt für IE8)

Überprüfung der (vorrübergehend) wiederhergestellten arirtje.exe bei Virustotal:

Code: Alles auswählenAufklappen

ATTFilter

 Datei arirtje.exe empfangen 2009.11.21 23:22:07 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 9/41 (21.96%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 60 und 85 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.41	2009.11.21	-
AhnLab-V3	5.0.0.2	2009.11.20	Win-Trojan/Malware.48128.D
AntiVir	7.9.1.72	2009.11.20	TR/Spy.68096.3
Antiy-AVL	2.0.3.7	2009.11.20	-
Authentium	5.2.0.5	2009.11.21	-
Avast	4.8.1351.0	2009.11.21	-
AVG	8.5.0.425	2009.11.21	-
BitDefender	7.2	2009.11.21	-
CAT-QuickHeal	10.00	2009.11.21	-
ClamAV	0.94.1	2009.11.21	-
Comodo	2990	2009.11.21	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.0.12182	2009.11.21	-
eSafe	7.0.17.0	2009.11.19	-
eTrust-Vet	35.1.7133	2009.11.20	-
F-Prot	4.5.1.85	2009.11.21	-
F-Secure	9.0.15370.0	2009.11.20	-
Fortinet	3.120.0.0	2009.11.21	-
GData	19	2009.11.21	-
Ikarus	T3.1.1.74.0	2009.11.21	-
Jiangmin	11.0.800	2009.11.21	-
K7AntiVirus	7.10.901	2009.11.20	-
Kaspersky	7.0.0.125	2009.11.22	-
McAfee	5809	2009.11.21	-
McAfee+Artemis	5809	2009.11.21	-
McAfee-GW-Edition	6.8.5	2009.11.21	Trojan.Spy.68096.3
Microsoft	1.5302	2009.11.21	-
NOD32	4627	2009.11.21	a variant of Win32/Kryptik.BCN
Norman	6.03.02	2009.11.21	-
nProtect	2009.1.8.0	2009.11.21	Trojan/W32.Agent.48128.DU
Panda	10.0.2.2	2009.11.21	-
PCTools	7.0.3.5	2009.11.21	-
Prevx	3.0	2009.11.22	High Risk Cloaked Malware
Rising	22.22.05.04	2009.11.21	-
Sophos	4.47.0	2009.11.22	Mal/FakeAV-BR
Sunbelt	3.2.1858.2	2009.11.21	Trojan.Unidentified.Gen.FN
Symantec	1.4.4.12	2009.11.22	-
TheHacker	6.5.0.2.075	2009.11.20	-
TrendMicro	9.0.0.1003	2009.11.21	-
VBA32	3.12.12.0	2009.11.20	-
ViRobot	2009.11.20.2047	2009.11.20	-
VirusBuster	5.0.21.0	2009.11.21	-
weitere Informationen
File size: 48128 bytes
MD5...: 4c62aeb878ff86fa3ecd36dee7c069ed
SHA1..: 72ff406617521e706bdcae7cff3c61c13dd3b8d7
SHA256: fd6947331ae308227f447926bec1c03aa72c42fd47a1b24cd263272f8250e329
ssdeep: 768:Bjj1ApMm9odZZ/N8kPQFOe0YWbeyFDlZLQVoHeSX5y0UHJ1T48+ieRl:9j1A
pMm98uO0WeyZLQVsX3UHT6ieR
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5c00
timedatestamp.....: 0x47d1339f (Fri Mar 07 12:22:55 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5f23 0x6000 7.79 b1ce76c4a9fc2a356dc2f0d3e50861f4
.rdata 0x7000 0x1afe 0x1c00 7.27 4bc6effab5b76ee6fb2b83659bb265ec
.data 0x9000 0x2b33e 0x2e00 7.74 b826c1ef22ae78534223f282433bd16b
.rsrc 0x35000 0x528 0x600 3.03 18833f1b0794ed6ddd1a1f0d27aa08ea
.reloc 0x36000 0x654 0x800 5.96 767d2b32557aa127bbc4d723e2115824

( 2 imports )
> KERNEL32.dll: GetCommandLineA, GetVersion, GlobalAlloc, LocalAlloc, VirtualAlloc, GlobalLock, GetCurrentProcess, HeapCreate, GetDriveTypeW, GetStdHandle, FindFirstFileW, SetHandleCount, MapViewOfFile, GetLocaleInfoA, FlushFileBuffers, GetTimeFormatW, HeapAlloc, GetLocalTime
> MSVCRT.dll: __set_app_type, wcslen, strchr, printf, atoi, _except_handler3, __mb_cur_max, __p__fmode, free, malloc, _stricmp, fputs, _pctype, __setusermatherr, __getmainargs, __set_se_translator@@YAP6AXIPAU_EXCEPTION_POINTERS@@@ZP6AXI0@Z@Z, _wcsicmp, __p__commode, time, __2@YAPAXI@Z, memmove

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=53DCC83A007F4F0EBC7D00F0B36B2100392C1D4C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=53DCC83A007F4F0EBC7D00F0B36B2100392C1D4C</a>
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright (c) 1995-1999 Microsoft Corporation, All rights reserved.
product......: Microsoft_ FrontPage_ 2000
description..: Microsoft FrontPage Server Extensions
original name: ADMIN.EXE,AUTHOR.EXE
internal name: n/a
file version.: 4.0.2.7523
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

p.s. Combofix werde ich morgen nochmal machen

Zitat:

Zitat von Chris4You

Bitte CF deinstallieren (Start->Ausführen combofix /u) und noch mal runterladen und laufen lassen, Log posten...

habe das Gefühl, dass Combofix mit "combofix /u" nicht wirklich deinstalliert wurde, die Combofix.exe blieb bestehen, es liefen die div. Stufen durch und am Ende erschien ein Log:

edit: habe die logs jetzt bei rapidshare hochgeladen, sonst muss ich ca. 18 neue Posts machen, was wohl etwas unübersichtlich wäre, hoffe das ist ok.

combofix /u:
h**p://rapidshare.de/files/48720059/CFlog.txt.html
2. Versuch combofix /u:
h**p://rapidshare.de/files/48720061/CFlog2.txt.html


habe die Combofix.exe dann manuell gelöscht und über Deinen Link neu heruntergeladen, dann gestartet. Es brachte am Ende folgendes Log:
h**p://rapidshare.de/files/48720063/CFlog3.txt.html

Hi,

die sollten sauber sein, aber ...
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\webcheck.dll
c:\windows\system32\wininet.dll
c:\windows\system32\strmdll.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung,
  
  alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Du hast wieder seltsame Einträge in den temporären Verzeichnissen, bitte CCleaner anwenden bis nichts mehr gefunden wird:
Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html

chris

Danke Chris.

habe CCleaner nochmals ausgeführt, übrigens immer noch ein Registry-Eintrag, der immer wieder kommt:

Zitat:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Virustotal:
webcheck.dll:

Code: Alles auswählenAufklappen

ATTFilter

 Datei webcheck.dll empfangen 2009.11.22 14:25:48 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/41 (2.44%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 60 und 85 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.41	2009.11.22	-
AhnLab-V3	5.0.0.2	2009.11.20	-
AntiVir	7.9.1.72	2009.11.20	-
Antiy-AVL	2.0.3.7	2009.11.20	-
Authentium	5.2.0.5	2009.11.21	-
Avast	4.8.1351.0	2009.11.22	-
AVG	8.5.0.425	2009.11.22	-
BitDefender	7.2	2009.11.22	-
CAT-QuickHeal	10.00	2009.11.21	-
ClamAV	0.94.1	2009.11.22	-
Comodo	2997	2009.11.22	-
DrWeb	5.0.0.12182	2009.11.22	-
eSafe	7.0.17.0	2009.11.19	-
eTrust-Vet	35.1.7133	2009.11.20	-
F-Prot	4.5.1.85	2009.11.21	-
F-Secure	9.0.15370.0	2009.11.20	-
Fortinet	3.120.0.0	2009.11.22	-
GData	19	2009.11.22	-
Ikarus	T3.1.1.74.0	2009.11.22	-
Jiangmin	11.0.800	2009.11.22	-
K7AntiVirus	7.10.901	2009.11.20	-
Kaspersky	7.0.0.125	2009.11.22	-
McAfee	5809	2009.11.21	-
McAfee+Artemis	5809	2009.11.21	-
McAfee-GW-Edition	6.8.5	2009.11.21	Heuristic.BehavesLike.Win32.Spyware.H
Microsoft	1.5302	2009.11.22	-
NOD32	4627	2009.11.21	-
Norman	6.03.02	2009.11.21	-
nProtect	2009.1.8.0	2009.11.22	-
Panda	10.0.2.2	2009.11.21	-
PCTools	7.0.3.5	2009.11.22	-
Prevx	3.0	2009.11.22	-
Rising	22.22.06.04	2009.11.22	-
Sophos	4.47.0	2009.11.22	-
Sunbelt	3.2.1858.2	2009.11.21	-
Symantec	1.4.4.12	2009.11.22	-
TheHacker	6.5.0.2.075	2009.11.20	-
TrendMicro	9.0.0.1003	2009.11.22	-
VBA32	3.12.12.0	2009.11.22	-
ViRobot	2009.11.20.2047	2009.11.20	-
VirusBuster	5.0.21.0	2009.11.21	-
weitere Informationen
File size: 236544 bytes
MD5...: cc8915db4e33e8fb29ca0d2dbf75306e
SHA1..: 42647487989a1481c061e34b54632a9eaae03cfd
SHA256: 6319c0580ffda989a2726814667c330f6a5c864d34b8c87645dd5a98e7a2c7fb
ssdeep: 3072:+olvPlT3BTdmmZyYdo8JUFCmECzJTX7v1ZsHgjBgM/lX4hxxNmfrmYGKdc0
M://gb+6FCmEmTxZsAjBJtohXNGXdcf
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1899
timedatestamp.....: 0x49b3ad53 (Sun Mar 08 11:34:43 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2931d 0x29400 6.37 ef4df5715aff907d114001240631a7a1
.data 0x2b000 0xa24 0xa00 1.86 fc9ce50f0cd00ddb5bfbe84ba8d55de0
.rsrc 0x2c000 0xd630 0xd800 4.96 1077836a6e026e1914605b37078a75ac
.reloc 0x3a000 0x2090 0x2200 6.59 62736178c46b33404c890a62133f2c8e

( 10 imports )
> msvcrt.dll: _unlock, __dllonexit, _lock, _onexit, bsearch, _vsnwprintf, _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _vsnprintf, wcsncmp, _XcptFilter, _wcsicmp, _wcsnicmp, wcschr, memcpy, memset
> ntdll.dll: RtlUnwind
> IEFRAME.dll: -, -
> GDI32.dll: GetDeviceCaps
> KERNEL32.dll: ExpandEnvironmentStringsA, LoadResource, FindResourceExW, MapViewOfFile, CreateFileMappingW, UnmapViewOfFile, GetSystemDefaultUILanguage, GetUserDefaultUILanguage, FindResourceW, SearchPathW, GetModuleHandleW, CreateActCtxW, ReleaseActCtx, LoadLibraryExW, Sleep, SystemTimeToFileTime, GetSystemTime, lstrlenW, MultiByteToWideChar, FormatMessageW, LocalFree, LocalAlloc, lstrlenA, InterlockedIncrement, InterlockedDecrement, GetLocalTime, GetProcAddress, LoadLibraryW, FreeLibrary, LocalReAlloc, GetUserDefaultLCID, CopyFileW, GlobalUnlock, GlobalLock, FileTimeToSystemTime, GetLocaleInfoW, GetTickCount, FormatMessageA, GetACP, LocalFileTimeToFileTime, CompareStringA, SetLastError, GetLastError, CloseHandle, CreateFileW, lstrcmpiA, HeapAlloc, GetProcessHeap, HeapFree, WideCharToMultiByte, GetSystemTimeAsFileTime, LoadLibraryA, ActivateActCtx, GetDateFormatW, GetWindowsDirectoryW, GetModuleFileNameW, GetVersionExW, DisableThreadLibraryCalls, lstrcmpA, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, ReadFile, InterlockedExchange, GetTimeFormatW, InterlockedCompareExchange, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, DeactivateActCtx, RaiseException, GetPrivateProfileStringW, GetPrivateProfileStringA, lstrcmpW
> USER32.dll: IsWindow, LoadStringW, LoadStringA, SendMessageW, PostMessageW, FindWindowW, GetWindowTextW, MessageBoxW, GetClientRect, GetSysColor, GetMenuItemCount, GetMenuItemInfoW, CreatePopupMenu, GetSubMenu, RemoveMenu, PeekMessageW, DispatchMessageW, GetPropW, SetPropW, RemovePropW, GetForegroundWindow, CheckDlgButton, GetParent, CheckRadioButton, EnableMenuItem, SetMenuDefaultItem, LoadIconW, GetDlgItemTextW, GetDlgItemInt, SendDlgItemMessageW, SetDlgItemInt, GetSystemMetrics, DestroyIcon, LoadImageW, LoadCursorW, SetCursor, LoadMenuW, DestroyMenu, RegisterClipboardFormatW, RegisterClassW, DefWindowProcW, EndDialog, SetWindowLongW, SetDlgItemTextW, ShowWindow, MessageBeep, GetDesktopWindow, SetDlgItemTextA, DialogBoxParamW, GetWindowRect, GetDC, ReleaseDC, SetWindowPos, GetDlgItem, EnableWindow, CreateWindowExW, MessageBoxIndirectW, GetWindowLongW, IsDlgButtonChecked, KillTimer, SetTimer, RegisterWindowMessageW, DestroyWindow
> ADVAPI32.dll: RegEnumValueW, RegEnumKeyW, RegQueryInfoKeyW, RegDeleteValueW, RegQueryValueExA, RegOpenKeyExA, RegQueryValueW, RegQueryValueExW, RegSetValueExW, RegEnumKeyExW, RegCreateKeyExW, RegOpenKeyExW, RegCloseKey
> SHLWAPI.dll: StrSpnA, SHGetValueW, StrChrW, SHRegGetValueW, SHDeleteKeyW, StrCmpIW, -, StrCmpW, StrDupW, StrRChrW, -, PathFindFileNameW, PathCombineW, PathIsDirectoryW, -, StrCmpNIW, PathFindExtensionW, PathIsURLW, -, -, SHStrDupW, StrFormatByteSizeW, PathRemoveBlanksW, StrTrimW, UrlCompareW, -, SHEnumValueW, PathAppendW, PathStripPathW, -, -, UrlCombineW, StrCSpnA
> iertutil.dll: -, -, -, -, -
> MLANG.dll: -

( 2 exports )
DllCanUnloadNow, DllGetClassObject
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Windows_ Internet Explorer
description..: Web Site Monitor
original name: WEBCHECK.DLL
internal name: WEBCHECK.DLL
file version.: 8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

wininet.dll:

Code: Alles auswählenAufklappen

ATTFilter

 Datei wininet.dll empfangen 2009.11.22 14:29:10 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.41	2009.11.22	-
AhnLab-V3	5.0.0.2	2009.11.20	-
AntiVir	7.9.1.72	2009.11.20	-
Antiy-AVL	2.0.3.7	2009.11.20	-
Authentium	5.2.0.5	2009.11.21	-
Avast	4.8.1351.0	2009.11.22	-
AVG	8.5.0.425	2009.11.22	-
BitDefender	7.2	2009.11.22	-
CAT-QuickHeal	10.00	2009.11.21	-
ClamAV	0.94.1	2009.11.22	-
Comodo	2997	2009.11.22	-
DrWeb	5.0.0.12182	2009.11.22	-
eSafe	7.0.17.0	2009.11.19	-
eTrust-Vet	35.1.7133	2009.11.20	-
F-Prot	4.5.1.85	2009.11.21	-
F-Secure	9.0.15370.0	2009.11.20	-
Fortinet	3.120.0.0	2009.11.22	-
GData	19	2009.11.22	-
Ikarus	T3.1.1.74.0	2009.11.22	-
Jiangmin	11.0.800	2009.11.22	-
K7AntiVirus	7.10.901	2009.11.20	-
Kaspersky	7.0.0.125	2009.11.22	-
McAfee	5809	2009.11.21	-
McAfee+Artemis	5809	2009.11.21	-
McAfee-GW-Edition	6.8.5	2009.11.21	-
Microsoft	1.5302	2009.11.22	-
NOD32	4627	2009.11.21	-
Norman	6.03.02	2009.11.21	-
nProtect	2009.1.8.0	2009.11.22	-
Panda	10.0.2.2	2009.11.21	-
PCTools	7.0.3.5	2009.11.22	-
Prevx	3.0	2009.11.22	-
Rising	22.22.06.04	2009.11.22	-
Sophos	4.47.0	2009.11.22	-
Sunbelt	3.2.1858.2	2009.11.21	-
Symantec	1.4.4.12	2009.11.22	-
TheHacker	6.5.0.2.075	2009.11.20	-
TrendMicro	9.0.0.1003	2009.11.22	-
VBA32	3.12.12.0	2009.11.22	-
ViRobot	2009.11.20.2047	2009.11.20	-
VirusBuster	5.0.21.0	2009.11.21	-
weitere Informationen
File size: 916480 bytes
MD5...: 6b985f8e8ace6a6424be04a90c1e652a
SHA1..: 86ae13b1b3e7d872c0166869d88a392aab677b32
SHA256: f4be7086d6770d655328c6aeffe7ba61223084d71857fea6ba617026e439f5f0
ssdeep: 12288:i9+BvY2Mu0xpFDqOuT3dlyw7WakHlwFSgq8ubV8bkMMIMMutumeIi:7gzp
FDqPT3j8ak+ubVGkMMIMMusJ
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1744
timedatestamp.....: 0x4a98deb5 (Sat Aug 29 07:54:29 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaf92c 0xafa00 6.61 d70fb3ebc23319df16fe2282b5ebc788
.data 0xb1000 0x6850 0x3400 1.83 3c46e5153b28d8233d3791b7c6d4c4de
.rsrc 0xb8000 0x261c0 0x26200 4.72 4fcc349585fba1303a63999fe2707b54
.reloc 0xdf000 0x67c4 0x6800 6.79 0f56c636ac098acfba60487ce50557ee

( 9 imports )
> msvcrt.dll: memset, _vsnwprintf, wcsncmp, bsearch, ___V@YAXPAX@Z, ___U@YAPAXI@Z, _onexit, _wcsnicmp, _wtoi, _wcsicmp, isupper, wcsstr, _purecall, _mbstok, iscntrl, ispunct, _strtoui64, time, _lock, isalpha, atol, isalnum, _errno, isspace, strpbrk, isdigit, isxdigit, memchr, memcpy, mbtowc, __mb_cur_max, isleadbyte, _iob, _snprintf, _itoa, wctomb, ferror, __badioinfo, __pioinfo, _fileno, _lseeki64, _write, _isatty, __dllonexit, _unlock, _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, iswlower, iswascii, iswxdigit, wcstol, islower, __isascii, strtol, memmove, iswspace, wcsrchr, strrchr, atoi, realloc, free, malloc, iswdigit, wcstok, _vsnprintf
> ntdll.dll: RtlUnwind, RtlConvertSidToUnicodeString, RtlMoveMemory
> SHLWAPI.dll: SHRegGetValueW, -, SHRegGetValueA, PathAddBackslashW, PathFindFileNameW, StrRChrW, PathRemoveBackslashA, PathRemoveFileSpecA, -, PathRemoveBlanksA, PathAddBackslashA, -, PathAppendA, -, PathUnExpandEnvStringsA, PathRenameExtensionA, SHDeleteKeyA, SHDeleteValueW, StrCmpNIW, StrCmpNIA, StrStrIA, -, StrChrW, StrChrA, -, -, UrlCombineW, UrlCanonicalizeW, -, PathCreateFromUrlW, UrlUnescapeA, UrlCombineA, UrlCanonicalizeA, StrToIntW, StrCmpW, StrCmpNA, StrRChrA, StrToIntA, StrStrIW, SHGetValueA, SHSetValueA, SHGetValueW, SHSetValueW, -, -, StrStrA, PathCombineW, StrChrNW, StrTrimW
> ADVAPI32.dll: RegDeleteValueW, RegQueryValueExW, CryptAcquireContextA, CryptGenRandom, CryptReleaseContext, RegOpenKeyA, RegEnumKeyA, RegSetValueExW, RegCreateKeyExW, RegDeleteKeyW, TraceEvent, DuplicateTokenEx, CreateWellKnownSid, SetTokenInformation, CreateProcessAsUserA, ConvertStringSecurityDescriptorToSecurityDescriptorA, GetSidSubAuthorityCount, GetSidSubAuthority, AllocateAndInitializeSid, CheckTokenMembership, FreeSid, RegDeleteValueA, OpenThreadToken, OpenProcessToken, GetTokenInformation, RegOpenKeyExW, RegDeleteKeyA, UnregisterTraceGuids, RegisterTraceGuidsA, ConvertSidToStringSidW, ConvertStringSecurityDescriptorToSecurityDescriptorW, CryptAcquireContextW, CryptGetProvParam, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyA, RegEnumKeyExA, RegCloseKey, GetUserNameA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, QueryServiceStatus
> KERNEL32.dll: OpenFileMappingA, CreateFileMappingA, MapViewOfFileEx, FlushViewOfFile, SetEndOfFile, UnmapViewOfFile, OutputDebugStringA, DosDateTimeToFileTime, lstrcmpiW, GetEnvironmentVariableA, GetShortPathNameA, GetShortPathNameW, FindFirstFileA, RemoveDirectoryA, FindNextFileA, FindClose, GetDiskFreeSpaceExA, CopyFileA, SetFileTime, CreateDirectoryA, GetWindowsDirectoryA, GetPrivateProfileStringA, GetFileAttributesA, SetFileAttributesA, GetFileAttributesExA, FileTimeToDosDateTime, GetFileSizeEx, lstrcmpW, RaiseException, MoveFileExA, MoveFileExW, MoveFileW, MoveFileA, SetFilePointerEx, LocalFileTimeToFileTime, CreateSemaphoreA, ReleaseSemaphore, GetCurrentProcessId, GetFileTime, lstrcmpA, GetModuleHandleExA, LoadLibraryW, FreeLibraryAndExitThread, ResetEvent, ExpandEnvironmentStringsA, GetSystemTimeAsFileTime, DeleteFileW, GetACP, InterlockedExchangeAdd, CreateThread, Sleep, OpenMutexA, GetSystemDirectoryA, FormatMessageA, SetErrorMode, IsDBCSLeadByteEx, SystemTimeToFileTime, GetTickCount, SizeofResource, TlsGetValue, TlsSetValue, TlsAlloc, GetDateFormatA, GetTimeFormatA, GlobalAlloc, InterlockedCompareExchange, GetCurrentThread, GetCurrentProcess, IsDBCSLeadByte, IsValidCodePage, GlobalFree, GetLongPathNameW, lstrlenW, GetLongPathNameA, DeleteFileA, FormatMessageW, GetModuleHandleA, GetSystemTime, GetModuleHandleW, WritePrivateProfileStringA, GetVersionExA, GetModuleFileNameA, WriteFile, SetFilePointer, CreateFileW, CreateFileA, GetFileSize, ReadFile, FileTimeToSystemTime, LocalReAlloc, HeapFree, HeapAlloc, GetProcessHeap, GetTimeFormatW, GetDateFormatW, GetUserDefaultLCID, GetComputerNameA, GlobalUnlock, GlobalLock, QueryPerformanceCounter, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LoadResource, FindResourceExW, LoadLibraryExW, MapViewOfFile, CreateFileMappingW, GetLocaleInfoW, GetVersionExW, GetSystemDefaultUILanguage, GetUserDefaultUILanguage, FindResourceW, SearchPathW, CreateActCtxW, ReleaseActCtx, ActivateActCtx, DeactivateActCtx, SetFileAttributesW, CompareFileTime, WritePrivateProfileStringW, GetFileAttributesW, CreateMutexW, DuplicateHandle, OpenMutexW, OpenEventW, LockResource, ResumeThread, TlsFree, GetProcAddress, LoadLibraryA, FreeLibrary, InterlockedExchange, CloseHandle, GetLastError, SetLastError, EnterCriticalSection, LeaveCriticalSection, CompareStringW, WaitForSingleObject, WideCharToMultiByte, MultiByteToWideChar, CreateEventA, CreateMutexA, CompareStringA, ReleaseMutex, GetCurrentThreadId, LocalFree, LocalAlloc, DeleteCriticalSection, SetEvent, InterlockedIncrement, lstrcmpiA, lstrlenA, InterlockedDecrement, GetModuleFileNameW, InitializeCriticalSectionAndSpinCount
> USER32.dll: FindWindowW, PostMessageW, RegisterWindowMessageW, ReleaseDC, GetDC, SendDlgItemMessageW, LoadImageW, GetSystemMetrics, IntersectRect, EqualRect, GetWindowRect, GetWindow, SetForegroundWindow, DestroyIcon, SetDlgItemTextW, SetWindowPos, IsWindow, PostMessageA, CharNextExA, EnumWindows, GetAncestor, IsWindowVisible, EnumChildWindows, GetWindowThreadProcessId, IsCharAlphaNumericA, CharLowerW, CharUpperA, CharToOemA, LoadStringW, DialogBoxParamW, GetDesktopWindow, SendDlgItemMessageA, LoadIconA, LoadImageA, LoadStringA, CharLowerA, DestroyWindow, KillTimer, EnableWindow, SetWindowTextW, GetDlgItem, SetFocus, EndDialog, CheckDlgButton, SendMessageW, SendMessageA, IsDlgButtonChecked, DefWindowProcA, SetWindowLongA, GetWindowLongA, RegisterClassW, CreateWindowExW, SetTimer, GetWindowTextW, MessageBoxW, CharNextA, GetWindowInfo
> Normaliz.dll: IdnToAscii, IdnToUnicode
> urlmon.dll: -, -, -, -, -, -
> iertutil.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 231 exports )
CommitUrlCacheEntryA, CommitUrlCacheEntryW, CreateMD5SSOHash, CreateUrlCacheContainerA, CreateUrlCacheContainerW, CreateUrlCacheEntryA, CreateUrlCacheEntryW, CreateUrlCacheGroup, DeleteIE3Cache, DeleteUrlCacheContainerA, DeleteUrlCacheContainerW, DeleteUrlCacheEntry, DeleteUrlCacheEntryA, DeleteUrlCacheEntryW, DeleteUrlCacheGroup, DeleteWpadCacheForNetworks, DetectAutoProxyUrl, DispatchAPICall, DllInstall, FindCloseUrlCache, FindFirstUrlCacheContainerA, FindFirstUrlCacheContainerW, FindFirstUrlCacheEntryA, FindFirstUrlCacheEntryExA, FindFirstUrlCacheEntryExW, FindFirstUrlCacheEntryW, FindFirstUrlCacheGroup, FindNextUrlCacheContainerA, FindNextUrlCacheContainerW, FindNextUrlCacheEntryA, FindNextUrlCacheEntryExA, FindNextUrlCacheEntryExW, FindNextUrlCacheEntryW, FindNextUrlCacheGroup, ForceNexusLookup, ForceNexusLookupExW, FreeUrlCacheSpaceA, FreeUrlCacheSpaceW, FtpCommandA, FtpCommandW, FtpCreateDirectoryA, FtpCreateDirectoryW, FtpDeleteFileA, FtpDeleteFileW, FtpFindFirstFileA, FtpFindFirstFileW, FtpGetCurrentDirectoryA, FtpGetCurrentDirectoryW, FtpGetFileA, FtpGetFileEx, FtpGetFileSize, FtpGetFileW, FtpOpenFileA, FtpOpenFileW, FtpPutFileA, FtpPutFileEx, FtpPutFileW, FtpRemoveDirectoryA, FtpRemoveDirectoryW, FtpRenameFileA, FtpRenameFileW, FtpSetCurrentDirectoryA, FtpSetCurrentDirectoryW, GetUrlCacheConfigInfoA, GetUrlCacheConfigInfoW, GetUrlCacheEntryInfoA, GetUrlCacheEntryInfoExA, GetUrlCacheEntryInfoExW, GetUrlCacheEntryInfoW, GetUrlCacheGroupAttributeA, GetUrlCacheGroupAttributeW, GetUrlCacheHeaderData, GopherCreateLocatorA, GopherCreateLocatorW, GopherFindFirstFileA, GopherFindFirstFileW, GopherGetAttributeA, GopherGetAttributeW, GopherGetLocatorTypeA, GopherGetLocatorTypeW, GopherOpenFileA, GopherOpenFileW, HttpAddRequestHeadersA, HttpAddRequestHeadersW, HttpCheckDavCompliance, HttpEndRequestA, HttpEndRequestW, HttpOpenRequestA, HttpOpenRequestW, HttpQueryInfoA, HttpQueryInfoW, HttpSendRequestA, HttpSendRequestExA, HttpSendRequestExW, HttpSendRequestW, IncrementUrlCacheHeaderData, InternetAlgIdToStringA, InternetAlgIdToStringW, InternetAttemptConnect, InternetAutodial, InternetAutodialCallback, InternetAutodialHangup, InternetCanonicalizeUrlA, InternetCanonicalizeUrlW, InternetCheckConnectionA, InternetCheckConnectionW, InternetClearAllPerSiteCookieDecisions, InternetCloseHandle, InternetCombineUrlA, InternetCombineUrlW, InternetConfirmZoneCrossing, InternetConfirmZoneCrossingA, InternetConfirmZoneCrossingW, InternetConnectA, InternetConnectW, InternetCrackUrlA, InternetCrackUrlW, InternetCreateUrlA, InternetCreateUrlW, InternetDial, InternetDialA, InternetDialW, InternetEnumPerSiteCookieDecisionA, InternetEnumPerSiteCookieDecisionW, InternetErrorDlg, InternetFindNextFileA, InternetFindNextFileW, InternetFortezzaCommand, InternetGetCertByURL, InternetGetCertByURLA, InternetGetConnectedState, InternetGetConnectedStateEx, InternetGetConnectedStateExA, InternetGetConnectedStateExW, InternetGetCookieA, InternetGetCookieExA, InternetGetCookieExW, InternetGetCookieW, InternetGetLastResponseInfoA, InternetGetLastResponseInfoW, InternetGetPerSiteCookieDecisionA, InternetGetPerSiteCookieDecisionW, InternetGetSecurityInfoByURL, InternetGetSecurityInfoByURLA, InternetGetSecurityInfoByURLW, InternetGoOnline, InternetGoOnlineA, InternetGoOnlineW, InternetHangUp, InternetInitializeAutoProxyDll, InternetLockRequestFile, InternetOpenA, InternetOpenUrlA, InternetOpenUrlW, InternetOpenW, InternetQueryDataAvailable, InternetQueryFortezzaStatus, InternetQueryOptionA, InternetQueryOptionW, InternetReadFile, InternetReadFileExA, InternetReadFileExW, InternetSecurityProtocolToStringA, InternetSecurityProtocolToStringW, InternetSetCookieA, InternetSetCookieExA, InternetSetCookieExW, InternetSetCookieW, InternetSetDialState, InternetSetDialStateA, InternetSetDialStateW, InternetSetFilePointer, InternetSetOptionA, InternetSetOptionExA, InternetSetOptionExW, InternetSetOptionW, InternetSetPerSiteCookieDecisionA, InternetSetPerSiteCookieDecisionW, InternetSetStatusCallback, InternetSetStatusCallbackA, InternetSetStatusCallbackW, InternetShowSecurityInfoByURL, InternetShowSecurityInfoByURLA, InternetShowSecurityInfoByURLW, InternetTimeFromSystemTime, InternetTimeFromSystemTimeA, InternetTimeFromSystemTimeW, InternetTimeToSystemTime, InternetTimeToSystemTimeA, InternetTimeToSystemTimeW, InternetUnlockRequestFile, InternetWriteFile, InternetWriteFileExA, InternetWriteFileExW, IsHostInProxyBypassList, IsUrlCacheEntryExpiredA, IsUrlCacheEntryExpiredW, LoadUrlCacheContent, ParseX509EncodedCertificateForListBoxEntry, PrivacyGetZonePreferenceW, PrivacySetZonePreferenceW, ReadUrlCacheEntryStream, ReadUrlCacheEntryStreamEx, RegisterUrlCacheNotification, ResumeSuspendedDownload, RetrieveUrlCacheEntryFileA, RetrieveUrlCacheEntryFileW, RetrieveUrlCacheEntryStreamA, RetrieveUrlCacheEntryStreamW, RunOnceUrlCache, SetUrlCacheConfigInfoA, SetUrlCacheConfigInfoW, SetUrlCacheEntryGroup, SetUrlCacheEntryGroupA, SetUrlCacheEntryGroupW, SetUrlCacheEntryInfoA, SetUrlCacheEntryInfoW, SetUrlCacheGroupAttributeA, SetUrlCacheGroupAttributeW, SetUrlCacheHeaderData, ShowCertificate, ShowClientAuthCerts, ShowSecurityInfo, ShowX509EncodedCertificate, UnlockUrlCacheEntryFile, UnlockUrlCacheEntryFileA, UnlockUrlCacheEntryFileW, UnlockUrlCacheEntryStream, UpdateUrlCacheContentPath, UrlZonesDetach, _GetFileExtensionFromUrl
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Windows_ Internet Explorer
description..: Internet Extensions for Win32
original name: wininet.dll
internal name: wininet.dll
file version.: 8.00.6001.18828 (longhorn_ie8_gdr.090826-1700)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
         

und strmdll.dll:

Code: Alles auswählenAufklappen

ATTFilter

 Datei strmdll.dll empfangen 2009.11.22 14:36:25 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.41	2009.11.22	-
AhnLab-V3	5.0.0.2	2009.11.20	-
AntiVir	7.9.1.72	2009.11.20	-
Antiy-AVL	2.0.3.7	2009.11.20	-
Authentium	5.2.0.5	2009.11.21	-
Avast	4.8.1351.0	2009.11.22	-
AVG	8.5.0.425	2009.11.22	-
BitDefender	7.2	2009.11.22	-
CAT-QuickHeal	10.00	2009.11.21	-
ClamAV	0.94.1	2009.11.22	-
Comodo	2998	2009.11.22	-
DrWeb	5.0.0.12182	2009.11.22	-
eSafe	7.0.17.0	2009.11.19	-
eTrust-Vet	35.1.7133	2009.11.20	-
F-Prot	4.5.1.85	2009.11.21	-
F-Secure	9.0.15370.0	2009.11.20	-
Fortinet	3.120.0.0	2009.11.22	-
GData	19	2009.11.22	-
Ikarus	T3.1.1.74.0	2009.11.22	-
Jiangmin	11.0.800	2009.11.22	-
K7AntiVirus	7.10.901	2009.11.20	-
Kaspersky	7.0.0.125	2009.11.22	-
McAfee	5809	2009.11.21	-
McAfee+Artemis	5809	2009.11.21	-
McAfee-GW-Edition	6.8.5	2009.11.21	-
Microsoft	1.5302	2009.11.22	-
NOD32	4627	2009.11.21	-
Norman	6.03.02	2009.11.21	-
nProtect	2009.1.8.0	2009.11.22	-
Panda	10.0.2.2	2009.11.22	-
PCTools	7.0.3.5	2009.11.22	-
Prevx	3.0	2009.11.22	-
Rising	22.22.06.04	2009.11.22	-
Sophos	4.47.0	2009.11.22	-
Sunbelt	3.2.1858.2	2009.11.21	-
Symantec	1.4.4.12	2009.11.22	-
TheHacker	6.5.0.2.075	2009.11.20	-
TrendMicro	9.0.0.1003	2009.11.22	-
VBA32	3.12.12.0	2009.11.22	-
ViRobot	2009.11.20.2047	2009.11.20	-
VirusBuster	5.0.21.0	2009.11.21	-
weitere Informationen
File size: 247326 bytes
MD5...: cf9860b324b0ea85d28b97d2b18d5561
SHA1..: 635e702afff5120774dc87e600429c6fba22113d
SHA256: 43276a1ed79ee39864f2ff69a0ff57ac403c709d7eb29e2a150ea07585e0fb92
ssdeep: 3072:aRo4IGR4W/TGbZCN0riDpyNUDUNT+1KdWXOelwWmLiv9pWk0Ek+x4hGlPJn
M3zMH:tEBTeUUcpqRTjd9jY9pgEh58Zn3/6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x35c40
timedatestamp.....: 0x4a94eb95 (Wed Aug 26 08:00:21 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x36062 0x36200 6.54 facab14e596781cb1abe627401601fa4
.data 0x38000 0x2b30 0x2600 5.44 8dc3941969159f56f6e3010f9df06dea
.edata 0x3b000 0xbb 0x200 2.26 eb4ab6ea3a714adffc1feb0dc7f9f551
.rsrc 0x3c000 0xab4 0xc00 4.00 3206f92bb07bc0e1955fd9adbcd6fa94
.reloc 0x3d000 0x28a8 0x2a00 6.21 401b37ca0b09962523c48e01a45e2405

( 9 imports )
> KERNEL32.dll: EnterCriticalSection, GetTickCount, GetSystemInfo, SetThreadPriority, LeaveCriticalSection, GetCurrentThread, SetEvent, LoadLibraryA, GetModuleFileNameA, WideCharToMultiByte, GetVolumeInformationA, GetComputerNameA, Sleep, WriteFile, SetFilePointer, CreateFileA, GetLocalTime, QueryPerformanceCounter, QueryPerformanceFrequency, ReadFile, CreateSemaphoreA, ReleaseSemaphore, GetCurrentThreadId, MultiByteToWideChar, lstrlenA, SystemTimeToFileTime, GetSystemTime, GlobalFree, GlobalAlloc, GetProcAddress, CompareFileTime, DeleteFileA, FreeLibrary, GetFileSize, GetWindowsDirectoryA, CopyFileA, GetFileAttributesA, GetTempPathA, SearchPathA, ExpandEnvironmentStringsA, VirtualQuery, GetTempFileNameA, IsBadStringPtrA, SetLastError, GetVersion, DeleteCriticalSection, ExitThread, TerminateThread, GetModuleHandleA, GetCurrentProcessId, ReleaseMutex, InitializeCriticalSection, CreateEventA, CreateMutexA, GetLastError, CloseHandle, CreateThread, WaitForSingleObject, ResetEvent, WaitForMultipleObjects, InterlockedDecrement, GetVersionExA, InterlockedIncrement, HeapFree, HeapAlloc, GetProcessHeap, DeviceIoControl, GetCommConfig
> USER32.dll: wsprintfA, CharToOemBuffA, UnregisterClassA, CopyRect, SetWindowLongA, PostMessageA, KillTimer, DialogBoxParamA, CreateWindowExA, RegisterClassA, DispatchMessageA, GetMessageA, PeekMessageA, DefWindowProcA, SetWindowPos, OffsetRect, GetWindowLongA, PostQuitMessage, DestroyWindow, SetTimer, CharNextA, GetWindowRect, GetDesktopWindow, IsWindowVisible, IsIconic, GetWindowTextA, EndDialog, GetDlgItem, SetWindowTextA, SendMessageA, GetForegroundWindow, GetActiveWindow, GetParent, SetForegroundWindow
> ole32.dll: CoCreateGuid, CoUninitialize, CoInitialize, CoCreateInstance, StringFromCLSID, CLSIDFromString, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -
> ADVAPI32.dll: RegDeleteValueA, RegEnumKeyA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegDeleteKeyA, RegSetValueExA, RevertToSelf, LookupAccountSidA, ImpersonateLoggedOnUser, OpenThreadToken, GetUserNameA, GetTokenInformation
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA
> TAPI32.dll: lineShutdown, lineClose, lineNegotiateAPIVersion, lineOpen, lineInitialize, lineGetID
> MSVCRT.dll: strspn, free, strncmp, memmove, _strnicmp, isspace, sscanf, strstr, _itow, strchr, strpbrk, time, _wcsnicmp, wcschr, iswspace, _onexit, __dllonexit, _adjust_fdiv, __CxxFrameHandler, wcsncpy, _wtol, _stricmp, _ltoa, _itoa, srand, rand, _snprintf, strncpy, sprintf, _ftol, wcslen, wcscpy, __3@YAXPAX@Z, __2@YAPAXI@Z, _purecall, strrchr, atoi, _initterm, _EH_prolog, toupper, gmtime, strftime, _mbschr, strtod, _strlwr, strtoul, strcspn, malloc, swprintf, strtok, _except_handler3, isxdigit, ceil, isdigit

( 5 exports )
CreateAsfFormatSet, NSSecurityLibraryInit, SelectCrabis, SelectHelper, SelectMediaStream
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright (C) Microsoft Corp. 1992-1999
product......: Microsoft_ Windows Media-Dienste
description..: Windows Media Services Streamer Dll
original name: STRMDLL
internal name: STRMDLL
file version.: 4.1.00.3928
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

habe nochmal MAM drüberlaufen lassen, kein Fund.

habe Antivir nochmal drüberlaufen lassen. 1 Fund: TR/Spy.68096.3 (nochmal...???, diesmal in C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP9\A0002215.exe, wohl Systemwiederherstellung?)

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 22. November 2009  17:00

Es wird nach 1382322 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MD8818

Versionsinformationen:
BUILD.DAT      : 9.0.0.415     21609 Bytes  08.11.2009 09:55:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 19:03:23
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 19:03:23
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 19:03:23
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 19:03:23
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 19:03:23
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 19:03:23
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 19:03:23
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 19:03:23
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 19:03:23
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 19:03:23
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 19:03:23
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 19:03:23
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 19:03:23
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 19:03:23
VBASE013.VDF   : 7.10.1.12      2048 Bytes  19.11.2009 19:03:23
VBASE014.VDF   : 7.10.1.13      2048 Bytes  19.11.2009 19:03:23
VBASE015.VDF   : 7.10.1.14      2048 Bytes  19.11.2009 19:03:23
VBASE016.VDF   : 7.10.1.15      2048 Bytes  19.11.2009 19:03:23
VBASE017.VDF   : 7.10.1.16      2048 Bytes  19.11.2009 19:03:23
VBASE018.VDF   : 7.10.1.17      2048 Bytes  19.11.2009 19:03:23
VBASE019.VDF   : 7.10.1.18      2048 Bytes  19.11.2009 19:03:23
VBASE020.VDF   : 7.10.1.19      2048 Bytes  19.11.2009 19:03:23
VBASE021.VDF   : 7.10.1.20      2048 Bytes  19.11.2009 19:03:23
VBASE022.VDF   : 7.10.1.21      2048 Bytes  19.11.2009 19:03:23
VBASE023.VDF   : 7.10.1.22      2048 Bytes  19.11.2009 19:03:23
VBASE024.VDF   : 7.10.1.23      2048 Bytes  19.11.2009 19:03:23
VBASE025.VDF   : 7.10.1.24      2048 Bytes  19.11.2009 19:03:23
VBASE026.VDF   : 7.10.1.25      2048 Bytes  19.11.2009 19:03:23
VBASE027.VDF   : 7.10.1.26      2048 Bytes  19.11.2009 19:03:23
VBASE028.VDF   : 7.10.1.27      2048 Bytes  19.11.2009 19:03:23
VBASE029.VDF   : 7.10.1.28      2048 Bytes  19.11.2009 19:03:23
VBASE030.VDF   : 7.10.1.29      2048 Bytes  19.11.2009 19:03:23
VBASE031.VDF   : 7.10.1.43     70144 Bytes  20.11.2009 12:33:01
Engineversion  : 8.2.1.72 
AEVDF.DLL      : 8.1.1.2      106867 Bytes  16.09.2009 08:12:08
AESCRIPT.DLL   : 8.1.2.45     586108 Bytes  17.11.2009 19:07:29
AESCN.DLL      : 8.1.2.5      127346 Bytes  04.09.2009 09:04:32
AESBX.DLL      : 8.1.1.1      246132 Bytes  19.11.2009 19:03:23
AERDL.DLL      : 8.1.3.2      479604 Bytes  03.10.2009 15:50:30
AEPACK.DLL     : 8.2.0.3      422261 Bytes  06.11.2009 10:36:02
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  23.07.2009 08:59:39
AEHEUR.DLL     : 8.1.0.180   2093432 Bytes  07.11.2009 10:36:27
AEHELP.DLL     : 8.1.7.4      237943 Bytes  17.11.2009 19:07:25
AEGEN.DLL      : 8.1.1.75     364918 Bytes  19.11.2009 19:03:23
AEEMU.DLL      : 8.1.1.0      393587 Bytes  03.10.2009 15:49:23
AECORE.DLL     : 8.1.8.2      184694 Bytes  06.11.2009 10:32:25
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  09.09.2009 08:11:49
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 19:03:18

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 22. November 2009  17:00

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '70459' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVESched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVECapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pvrservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '55' Prozesse mit '55' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '65' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.004
  [0] Archivtyp: RAR
    --> GameData\Global\Global.far
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.016
  [0] Archivtyp: RAR
    --> GameData\Textures\Textures.far
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.021
  [0] Archivtyp: RAR
    --> UIGraphics\UIGraphics.far
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.024
  [0] Archivtyp: RAR
    --> SoundData\simsgeneratedhitsource.hit
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.025
  [0] Archivtyp: RAR
    --> GameData\UIText.iff
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.035
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Action\b\TV_ACTION_AIRPLANE.XA
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.036
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Action\e\TV_ACTION_MUS7.XA
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.037
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Mystery\b\TV_HOR_MUSIC.XA
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Programme\QuickTime\QTSystem\QuickTimeAuthoring.Resources\en.lproj\QuickTimeAuthoringLocalized.dll
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP9\A0002215.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.68096.3
Beginne mit der Suche in 'D:\' <RECOVER>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP9\A0002215.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.68096.3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3997eb.qua' verschoben!


Ende des Suchlaufs: Sonntag, 22. November 2009  20:57
Benötigte Zeit:  1:23:40 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  15294 Verzeichnisse wurden überprüft
 510893 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 510889 Dateien ohne Befall
   9798 Archive wurden durchsucht
     19 Warnungen
      3 Hinweise
  70459 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Hi,

ja, ist die Systemwiederherstellung...

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Danach noch mal AVIRA drüberjagen...

chris

habe Antivir im abgesicherten Modus nochmal laufen lassen, log:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 23. November 2009  22:10

Es wird nach 1389288 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Abgesicherter Modus
Benutzername   : Administrator
Computername   : MD8818

Versionsinformationen:
BUILD.DAT      : 9.0.0.415     21609 Bytes  08.11.2009 09:55:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 19:03:23
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 19:03:23
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 19:03:23
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 19:03:23
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 19:03:23
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 19:03:23
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 19:03:23
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 19:03:23
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 19:03:23
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 19:03:23
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 19:03:23
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 19:03:23
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 19:03:23
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 19:03:23
VBASE013.VDF   : 7.10.1.12      2048 Bytes  19.11.2009 19:03:23
VBASE014.VDF   : 7.10.1.13      2048 Bytes  19.11.2009 19:03:23
VBASE015.VDF   : 7.10.1.14      2048 Bytes  19.11.2009 19:03:23
VBASE016.VDF   : 7.10.1.15      2048 Bytes  19.11.2009 19:03:23
VBASE017.VDF   : 7.10.1.16      2048 Bytes  19.11.2009 19:03:23
VBASE018.VDF   : 7.10.1.17      2048 Bytes  19.11.2009 19:03:23
VBASE019.VDF   : 7.10.1.18      2048 Bytes  19.11.2009 19:03:23
VBASE020.VDF   : 7.10.1.19      2048 Bytes  19.11.2009 19:03:23
VBASE021.VDF   : 7.10.1.20      2048 Bytes  19.11.2009 19:03:23
VBASE022.VDF   : 7.10.1.21      2048 Bytes  19.11.2009 19:03:23
VBASE023.VDF   : 7.10.1.22      2048 Bytes  19.11.2009 19:03:23
VBASE024.VDF   : 7.10.1.23      2048 Bytes  19.11.2009 19:03:23
VBASE025.VDF   : 7.10.1.24      2048 Bytes  19.11.2009 19:03:23
VBASE026.VDF   : 7.10.1.25      2048 Bytes  19.11.2009 19:03:23
VBASE027.VDF   : 7.10.1.26      2048 Bytes  19.11.2009 19:03:23
VBASE028.VDF   : 7.10.1.27      2048 Bytes  19.11.2009 19:03:23
VBASE029.VDF   : 7.10.1.28      2048 Bytes  19.11.2009 19:03:23
VBASE030.VDF   : 7.10.1.29      2048 Bytes  19.11.2009 19:03:23
VBASE031.VDF   : 7.10.1.57    157184 Bytes  23.11.2009 19:45:03
Engineversion  : 8.2.1.72 
AEVDF.DLL      : 8.1.1.2      106867 Bytes  16.09.2009 08:12:08
AESCRIPT.DLL   : 8.1.2.45     586108 Bytes  17.11.2009 19:07:29
AESCN.DLL      : 8.1.2.5      127346 Bytes  04.09.2009 09:04:32
AESBX.DLL      : 8.1.1.1      246132 Bytes  19.11.2009 19:03:23
AERDL.DLL      : 8.1.3.2      479604 Bytes  03.10.2009 15:50:30
AEPACK.DLL     : 8.2.0.3      422261 Bytes  06.11.2009 10:36:02
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  23.07.2009 08:59:39
AEHEUR.DLL     : 8.1.0.180   2093432 Bytes  07.11.2009 10:36:27
AEHELP.DLL     : 8.1.7.4      237943 Bytes  17.11.2009 19:07:25
AEGEN.DLL      : 8.1.1.75     364918 Bytes  19.11.2009 19:03:23
AEEMU.DLL      : 8.1.1.0      393587 Bytes  03.10.2009 15:49:23
AECORE.DLL     : 8.1.8.2      184694 Bytes  06.11.2009 10:32:25
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  09.09.2009 08:11:49
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 19:03:18

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 23. November 2009  22:10

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '14' Prozesse mit '14' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.004
  [0] Archivtyp: RAR
    --> GameData\Global\Global.far
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.016
  [0] Archivtyp: RAR
    --> GameData\Textures\Textures.far
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.021
  [0] Archivtyp: RAR
    --> UIGraphics\UIGraphics.far
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.024
  [0] Archivtyp: RAR
    --> SoundData\simsgeneratedhitsource.hit
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.025
  [0] Archivtyp: RAR
    --> GameData\UIText.iff
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.035
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Action\b\TV_ACTION_AIRPLANE.XA
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.036
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Action\e\TV_ACTION_MUS7.XA
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.037
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Mystery\b\TV_HOR_MUSIC.XA
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <RECOVER>


Ende des Suchlaufs: Dienstag, 24. November 2009  01:31
Benötigte Zeit:  3:20:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  15275 Verzeichnisse wurden überprüft
 508874 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 508873 Dateien ohne Befall
   9789 Archive wurden durchsucht
     17 Warnungen
      1 Hinweise
         

soll ich noch versuchen die atapi.sys oder u.U. webcheck.dll zu ersetzen?

Hi,

sollte nicht erforderlich sein, was macht der Rechner soß

chris

habe nach dem Scan im abgesicherten Modus Antivir auch nochmal im normalen Modus drüberlaufen lassen, kein Fund mehr.
hatte den PC erst heute wieder länger am Netz und in Gebrauch, bisher alles wieder normal :-)

Gefahr gebannt? Kann ich was tun, um solche Infektionen künftig zu verhindern? Firewall? (habe momentan Sygate) Benutzerkonten?

Danke für die Hilfe Chris!!

Hi,

den Rootkit hält keine Firewall auf, da sie zur Kommunikation legitime Windowskomponenten benutzt. Sysgate ist eigentlich eine sehr gute Firewall, wird aber nicht mehr weiterentwickelt...

Du solltest Dir unbedingt zum Surfen ein Nutzerkonto mit wenigen Rechten einrichten, niemals als Administrator surfen!

Dazu folgende Infos:
http://www.trojaner-board.de/74052-sicherheit-im-internet.html

Lass den Browser dann noch in einer Sandbox laufen:
http://www.trojaner-board.de/71542-anleitung-sandboxie.html

Damit dürften genügend Sicherheitsmassnahmen geschaffen sein, bis auf eine,
den User...

Wenn der etwas ausführbares anklickt (klick mich, ich bin ein tolles (Trojaner) key-maker-Programm), dann alles abnickt, dann helfen keine Sicherheitsmaßnahmen der Welt... (Brain.exe ist das wichtigste... ) )...

chris

Danke, werd ich mir zu Gemüte führen.

Antivir Guard ist jetzt wieder beim Start aktiviert, habe das Setup gestartet und konnte ihn reparieren.

neues Problem...
Da es mit dem alten wohl eher nicht zusammenhängt, habe ich's in einem neuen Thread gepostet: http://www.trojaner-board.de/88411-w...tml#post544010
Danach ist das Neuaufsetzen definitiv fällig.