|
Plagegeister aller Art und deren Bekämpfung: HEUR/HTML.MalwareWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.11.2009, 13:53 | #1 |
| HEUR/HTML.Malware Seit gestern, es hatte eine Freundin von mir nach Notebooks geschaut, erhalte ich alle 5sec. die Antivir Fehlermeldung über obige Signatur. Verdammt ärgerlich, es sind wichtige Daten meiner Firma auf dem Rechner, hoffentlich passiert damit nichts. Antivir läuft grad, und ich hab die Datei schon an Antivir geschickt. Gegooglet hab ich auch schon, wurde daraus aber nicht so recht schlau, und vor allem, das Problem besteht ja weiterhin. Echt nervig, die permanenten Warnmeldungen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:46:17, on 17.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Apps\Softex\OmniPass\OPXPApp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1351351 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.focus.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.focus.de R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\RunOnce: [ICQ6setup] cmd.exe /c rmdir /S /Q "C:\Programme\ICQ6.5" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [VeohPlugin] "C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe O4 - Global Startup: VPN Client.lnk = ? O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{5000C342-D8AD-4BD2-AE71-0FD59B2AE313}: NameServer = 195.50.140.114 195.50.140.252 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 9562 bytes Hoffe, Ihr könnt mir helfen, kann am PC nicht mehr arbeiten, sobald er online ist. |
17.11.2009, 14:19 | #2 |
| HEUR/HTML.Malware Hi,
__________________das HJ-Log gibt nicht allzuviel her, daher: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1351351 R3 - URLSearchHook: (no name) - - (no file) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Chris
__________________ |
17.11.2009, 16:19 | #3 |
| HEUR/HTML.Malware Habe ich Dich richtig verstanden?
__________________Scannen, dann R0 .... und R3 markieren.... fixed check. Neustart. |
17.11.2009, 16:29 | #4 |
| HEUR/HTML.Malware Dies auch durchführen? Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. |
17.11.2009, 16:59 | #5 |
| HEUR/HTML.Malware Hi, ja, nur die zwei markieren, fix drücken und das wars.... Code:
ATTFilter öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Wo findet Avira den Schädling...? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
17.11.2009, 17:14 | #6 |
| HEUR/HTML.Malware Im Systemcheck findet Avira nix. Der Guard findet die Warnung unter: D:\Dokumente und Einstellungen\Anwendungsdaten\Moziall\Firefox\Profiles\jfd9qyfn.default\sessionstore-1.js Das alles puuh, keine Ahnunh von der Materie, aber ich folge den Anweisungen. |
17.11.2009, 21:52 | #7 |
| HEUR/HTML.Malware GMER 1.0.15.15227 - http://www.gmer.net Rootkit scan 2009-11-17 21:50:52 Windows 5.1.2600 Service Pack 3 Running: xju3b5rw.exe; Driver: D:\DOKUME~1\Godrik\LOKALE~1\Temp\pxldapod.sys ---- System - GMER 1.0.15 ---- SSDT BA7EFEEE ZwCreateKey SSDT BA7EFEE4 ZwCreateThread SSDT BA7EFEF3 ZwDeleteKey SSDT BA7EFEFD ZwDeleteValueKey SSDT spdp.sys ZwEnumerateKey [0xB9EC8CA2] SSDT spdp.sys ZwEnumerateValueKey [0xB9EC9030] SSDT BA7EFF02 ZwLoadKey SSDT spdp.sys ZwOpenKey [0xB9EAB0C0] SSDT BA7EFED0 ZwOpenProcess SSDT BA7EFED5 ZwOpenThread SSDT spdp.sys ZwQueryKey [0xB9EC9108] SSDT spdp.sys ZwQueryValueKey [0xB9EC8F88] SSDT BA7EFF0C ZwReplaceKey SSDT BA7EFF07 ZwRestoreKey SSDT BA7EFEF8 ZwSetValueKey SSDT BA7EFEDF ZwTerminateProcess INT 0x62 ? 8A5CFBF8 INT 0x73 ? 8A25DF00 INT 0x73 ? 8A25DF00 INT 0x82 ? 8A5CFBF8 INT 0x83 ? 8A25DF00 INT 0xA4 ? 8A25DF00 INT 0xB4 ? 8A25DF00 ---- Kernel code sections - GMER 1.0.15 ---- ? spdp.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B8DEB8AC 5 Bytes JMP 8A25D4E0 ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spdp.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spdp.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spdp.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spdp.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spdp.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spdp.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A54C1F8 Device \FileSystem\Fastfat \FatCdrom 8A282500 Device \FileSystem\Udfs \UdfsCdRom 8A3FB1F8 Device \FileSystem\Udfs \UdfsDisk 8A3FB1F8 Device \Driver\usbuhci \Device\USBPDO-0 8A240500 Device \Driver\usbuhci \Device\USBPDO-1 8A240500 Device \Driver\usbuhci \Device\USBPDO-2 8A240500 Device \Driver\usbuhci \Device\USBPDO-3 8A240500 Device \Driver\usbehci \Device\USBPDO-4 8A244500 AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5D01F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A5D01F8 Device \Driver\Cdrom \Device\CdRom0 8A209500 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A5D01F8 Device \Driver\Cdrom \Device\CdRom1 8A209500 Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\USBSTOR \Device\000000a6 8A37B500 Device \Driver\USBSTOR \Device\000000a8 8A37B500 Device \Driver\USBSTOR \Device\000000a9 8A37B500 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A418500 Device \Driver\NetBT \Device\NetbiosSmb 8A418500 Device \Driver\USBSTOR \Device\000000ab 8A37B500 Device \Driver\usbuhci \Device\USBFDO-0 8A240500 Device \Driver\usbuhci \Device\USBFDO-1 8A240500 Device \Driver\NetBT \Device\NetBT_Tcpip_{F84CEDA2-7822-4274-9486-5B6F559FC1F8} 8A418500 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A3981F8 Device \Driver\usbuhci \Device\USBFDO-2 8A240500 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A3981F8 Device \Driver\usbuhci \Device\USBFDO-3 8A240500 Device \Driver\usbehci \Device\USBFDO-4 8A244500 Device \Driver\Ftdisk \Device\FtControl 8A5D01F8 Device \FileSystem\Fastfat \Fat 8A282500 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 ---- EOF - GMER 1.0.15 ---- |
17.11.2009, 21:56 | #8 |
| HEUR/HTML.Malware RSIT Log ist zu lang, hat über 36000 Zeichen. Was nun damit? |
17.11.2009, 23:28 | #9 |
| HEUR/HTML.Malware Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3189 Windows 5.1.2600 Service Pack 3 17.11.2009 23:25:59 mbam-log-2009-11-17 (23-25-59).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 264482 Laufzeit: 52 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
18.11.2009, 07:45 | #10 |
| HEUR/HTML.Malware Hi, poste bitte das RSIT log wie folgt: Fileuplod: http://www.file-upload.net/, Logfile hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... So, es hat sich was in die atapi.sys eingehängt, das müssen wir prüfen: Bitte die atapi.sys suchen, bei einer normalen Installation ist sie wie folgt zu finden: Code:
ATTFilter c:\windows\system32\drivers\atapi.sys Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\drivers\atapi.sys
Bei der von Avira angemoserten Datei handelt es sich um javascript, daher: Firefox: Arbeite alles was unter dem Link angegeben ist ab und berichte dann im Thread! Erstmal keine PlugIns installieren und das gemachte Backup von Firefox nicht einspielen. http://www.trojaner-board.de/411645-post19.html Bitte dann das NoScript-Plugin installieren: http://filepony.de/download-noscript/ chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
18.11.2009, 12:18 | #11 |
| HEUR/HTML.Malware Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.18 - AhnLab-V3 5.0.0.2 2009.11.17 - AntiVir 7.9.1.70 2009.11.18 - Antiy-AVL 2.0.3.7 2009.11.18 - Authentium 5.2.0.5 2009.11.18 - Avast 4.8.1351.0 2009.11.18 - AVG 8.5.0.425 2009.11.18 - BitDefender 7.2 2009.11.18 - CAT-QuickHeal 10.00 2009.11.17 - ClamAV 0.94.1 2009.11.18 - Comodo 2972 2009.11.18 - DrWeb 5.0.0.12182 2009.11.18 - eSafe 7.0.17.0 2009.11.17 Win32.Rootkit eTrust-Vet 35.1.7127 2009.11.18 - F-Prot 4.5.1.85 2009.11.17 - F-Secure 9.0.15370.0 2009.11.17 - Fortinet 3.120.0.0 2009.11.18 - GData 19 2009.11.18 - Ikarus T3.1.1.74.0 2009.11.18 - Jiangmin 11.0.800 2009.11.18 - K7AntiVirus 7.10.898 2009.11.17 - Kaspersky 7.0.0.125 2009.11.18 - McAfee 5805 2009.11.17 - McAfee+Artemis 5805 2009.11.17 - McAfee-GW-Edition 6.8.5 2009.11.18 Heuristic.BehavesLike.Win32.Rootkit.H Microsoft 1.5202 2009.11.18 - NOD32 4617 2009.11.18 - Norman 6.03.02 2009.11.18 - nProtect 2009.1.8.0 2009.11.18 - Panda 10.0.2.2 2009.11.17 - PCTools 7.0.3.5 2009.11.18 - Prevx 3.0 2009.11.18 - Rising 22.22.02.07 2009.11.18 - Sophos 4.47.0 2009.11.18 - Sunbelt 3.2.1858.2 2009.11.17 - Symantec 1.4.4.12 2009.11.18 - TheHacker 6.5.0.2.072 2009.11.18 - TrendMicro 9.0.0.1003 2009.11.18 - VBA32 3.12.12.0 2009.11.18 - ViRobot 2009.11.18.2043 2009.11.18 - VirusBuster 5.0.21.0 2009.11.17 - weitere Informationen File size: 96512 bytes MD5...: 9f3a2f5aa6875c72bf062c712cfa2674 SHA1..: a719156e8ad67456556a02c34e762944234e7a44 SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9 ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x159f7 timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7 NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29 .rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708 .data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834 PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9 PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863 INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3 .rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab .reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45 ( 3 imports ) > ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress > HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR > WMILIB.SYS: WmiSystemControl, WmiCompleteRequest ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: IDE/ATAPI Port Driver original name: atapi.sys internal name: atapi.sys file version.: 5.1.2600.5512 (xpsp.080413-2108) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned packers (Kaspersky): PE_Patch ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. |
18.11.2009, 12:22 | #12 |
| HEUR/HTML.Malware Meine Herren, ist das viel. Blick da kaum noch durch. Dennoch tausend Dank für die Hilfe Chris. Was Du unten geschrieben hast, "Bei der von Avira angemoserten Datei handelt es sich um javascript, daher: Firefox: Arbeite alles was unter dem Link angegeben ist ab und berichte dann im Thread! Erstmal keine PlugIns installieren und das gemachte Backup von Firefox nicht einspielen. http://www.trojaner-board.de/411645-post19.html", bzieht sich das auf Mozbackup und Regseeker, also den eine Zeile drüber befindlichen Link. Sorry, will nichts falsch machen. Systemdateien versteckt ich mal wieder, ne? |
18.11.2009, 13:27 | #13 |
| HEUR/HTML.Malware Hi, Du kannst die Einstellungen für den Explorer wieder zurückdrehen (ausblenden ovn Systemdateien etc.). Nicht über die Systemwiederherstellungen gehen, sondern da, wo Du sie geändert hast (Systemeinstellungen s. u.) Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico D:\Dokumente und Einstellungen\Godrik\Lokale Einstellungen\Temp\~os1F.tmp\ossproxy.exe C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys C:\WINDOWS\system32\drivers\Nsynas32.sys
Der atapi.sys müssen wir noch mal auf den Zahn fühlen: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
18.11.2009, 14:00 | #14 |
| HEUR/HTML.Malware Datei Icon3E5562ED7.ico empfangen 2009.11.18 12:55:34 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 40 und 57 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.18 - AhnLab-V3 5.0.0.2 2009.11.17 - AntiVir 7.9.1.70 2009.11.18 - Antiy-AVL 2.0.3.7 2009.11.18 - Authentium 5.2.0.5 2009.11.18 - Avast 4.8.1351.0 2009.11.18 - AVG 8.5.0.425 2009.11.18 - BitDefender 7.2 2009.11.18 - CAT-QuickHeal 10.00 2009.11.17 - ClamAV 0.94.1 2009.11.18 - Comodo 2977 2009.11.18 - DrWeb 5.0.0.12182 2009.11.18 - eSafe 7.0.17.0 2009.11.18 - eTrust-Vet 35.1.7127 2009.11.18 - F-Prot 4.5.1.85 2009.11.17 - F-Secure 9.0.15370.0 2009.11.17 - Fortinet 3.120.0.0 2009.11.18 - GData 19 2009.11.18 - Ikarus T3.1.1.74.0 2009.11.18 - Jiangmin 11.0.800 2009.11.18 - K7AntiVirus 7.10.898 2009.11.17 - Kaspersky 7.0.0.125 2009.11.18 - McAfee 5805 2009.11.17 - McAfee+Artemis 5805 2009.11.17 - McAfee-GW-Edition 6.8.5 2009.11.18 - Microsoft 1.5202 2009.11.18 - NOD32 4617 2009.11.18 - Norman 6.03.02 2009.11.18 - nProtect 2009.1.8.0 2009.11.18 - Panda 10.0.2.2 2009.11.17 - PCTools 7.0.3.5 2009.11.18 - Prevx 3.0 2009.11.18 - Rising 22.22.02.08 2009.11.18 - Sophos 4.47.0 2009.11.18 - Sunbelt 3.2.1858.2 2009.11.17 - Symantec 1.4.4.12 2009.11.18 - TheHacker 6.5.0.2.072 2009.11.18 - TrendMicro 9.0.0.1003 2009.11.18 - VBA32 3.12.12.0 2009.11.18 - ViRobot 2009.11.18.2043 2009.11.18 - VirusBuster 5.0.21.0 2009.11.17 - weitere Informationen File size: 6144 bytes MD5...: 85ab6c3089bee58999b434e114e8a64c SHA1..: f480a5c7f587edcc3bfc86524dbab551d50306f6 SHA256: 7a1b4cbb5559e30fe23d3815b82079e237f58813ee7eeddc98c663c0149cb8bb ssdeep: 48:6QacmvI2pK4xVR6sEZhcswU78xuabGcwU78xuabGk:8Q2U4xKFhx8xLqC8xLq k PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000 timedatestamp.....: 0x33fdb6ae (Fri Aug 22 15:56:30 1997) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5 0x200 0.08 5e3004258b537e9a4d9e5dc688181906 .rdata 0x2000 0x35 0x200 0.47 1a9eeeda4bd420676a74ba7e077a88fb .rsrc 0x3000 0xd24 0xe00 3.59 8fb56e64407379ebe861ef7dd74106ce .reloc 0x4000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee ( 0 imports ) ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ 4.x (95.6%) Win16/32 Executable Delphi generic (1.4%) Generic Win/DOS Executable (1.4%) DOS Executable Generic (1.4%) VXD Driver (0.0%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
18.11.2009, 14:07 | #15 |
| HEUR/HTML.Malware Datei fssfltr_tdi.sys empfangen 2009.11.18 13:04:56 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 8. Geschätzte Startzeit ist zwischen 110 und 157 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.18 - AhnLab-V3 5.0.0.2 2009.11.17 - AntiVir 7.9.1.70 2009.11.18 - Antiy-AVL 2.0.3.7 2009.11.18 - Authentium 5.2.0.5 2009.11.18 - Avast 4.8.1351.0 2009.11.18 - AVG 8.5.0.425 2009.11.18 - BitDefender 7.2 2009.11.18 - CAT-QuickHeal 10.00 2009.11.17 - ClamAV 0.94.1 2009.11.18 - Comodo 2977 2009.11.18 - DrWeb 5.0.0.12182 2009.11.18 - eSafe 7.0.17.0 2009.11.18 - eTrust-Vet 35.1.7127 2009.11.18 - F-Prot 4.5.1.85 2009.11.17 - F-Secure 9.0.15370.0 2009.11.17 - Fortinet 3.120.0.0 2009.11.18 - GData 19 2009.11.18 - Ikarus T3.1.1.74.0 2009.11.18 - Jiangmin 11.0.800 2009.11.18 - K7AntiVirus 7.10.898 2009.11.17 - Kaspersky 7.0.0.125 2009.11.18 - McAfee 5805 2009.11.17 - McAfee+Artemis 5805 2009.11.17 - McAfee-GW-Edition 6.8.5 2009.11.18 - Microsoft 1.5202 2009.11.18 - NOD32 4617 2009.11.18 - Norman 6.03.02 2009.11.18 - nProtect 2009.1.8.0 2009.11.18 - Panda 10.0.2.2 2009.11.17 - PCTools 7.0.3.5 2009.11.18 - Prevx 3.0 2009.11.18 - Rising 22.22.02.08 2009.11.18 - Sophos 4.47.0 2009.11.18 - Sunbelt 3.2.1858.2 2009.11.17 - Symantec 1.4.4.12 2009.11.18 - TheHacker 6.5.0.2.072 2009.11.18 - TrendMicro 9.0.0.1003 2009.11.18 - VBA32 3.12.12.0 2009.11.18 - ViRobot 2009.11.18.2043 2009.11.18 - VirusBuster 5.0.21.0 2009.11.17 - weitere Informationen File size: 55152 bytes MD5...: 960f5e5e4e1f720465311ac68a99c2df SHA1..: ba51b9a230e21f4c2cfa84b7ba02b7f4cb3f6c10 SHA256: f52e2fb00ca71bb414d97e16be7a65e90e813d73ea0d303dc9af93bfef9f8ade ssdeep: 768:7iHp1w39JVAaC1H9xllMGCaaakgTc+f1OwAFFyYPcXOtsqsj/c/iR1jIte:7 iJwJJC1TiyktGzR1Ete PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9771 timedatestamp.....: 0x498ce6d9 (Sat Feb 07 01:41:45 2009) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0x5b29 0x5b80 6.51 b4f32d1ae46ab4d378c2a9cfee6e8131 .rdata 0x6000 0xa4d 0xa80 4.78 d5d8209d95329664d252f20353b12b5c .data 0x6a80 0x670 0x680 0.81 e433486359db396673d38c0fab01ce11 PAGE 0x7100 0x245a 0x2480 6.37 7582a460e28b4605c52202b88a09a721 INIT 0x9580 0x13e4 0x1400 6.23 7db9c10176363063c39bedd226c41561 .rsrc 0xa980 0x918 0x980 5.97 945ed6f7dca17932006587435d7072b1 .reloc 0xb300 0x88a 0x900 6.16 3ef017f43b85a37b21dd8a8591fa9da5 ( 4 imports ) > ntoskrnl.exe: MmMapLockedPagesSpecifyCache, IoCsqRemoveNextIrp, IoSetCompletionRoutineEx, MmBuildMdlForNonPagedPool, IoAllocateMdl, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, RtlCompareMemory, RtlInitString, IoFreeMdl, ObfDereferenceObject, IoDeleteDevice, IoDetachDevice, InterlockedPopEntrySList, InterlockedPushEntrySList, ObReferenceObjectByHandle, IoFileObjectType, IoAttachDeviceToDeviceStackSafe, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoCsqInsertIrp, KeTickCount, KeBugCheckEx, IofCallDriver, IoGetRequestorProcessId, SeQueryInformationToken, memcpy, RtlLengthSid, RtlInitializeGenericTableAvl, ExFreePoolWithTag, ExAllocatePoolWithTag, RtlLookupElementGenericTableAvl, IofCompleteRequest, KeSetTimer, KeCancelTimer, KeInsertQueueDpc, KeInitializeTimer, KeInitializeDpc, IoDeleteSymbolicLink, IoWMIRegistrationControl, RtlValidSid, IoCreateSymbolicLink, RtlCopyUnicodeString, IoWMIWriteEvent, MmGetSystemRoutineAddress, IoCsqInitialize, ExAllocatePool, RtlDeleteElementGenericTableAvl, RtlLookupElementGenericTableFullAvl, RtlInsertElementGenericTableFullAvl, memset, IoCreateDevice, ZwClose, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, _wcsnicmp, RtlAddAccessAllowedAce, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString > HAL.dll: KeAcquireInStackQueuedSpinLock, KfReleaseSpinLock, KfAcquireSpinLock, KeReleaseInStackQueuedSpinLock > TDI.SYS: TdiMapUserRequest, TdiDefaultChainedRcvExpeditedHandler, TdiDefaultChainedReceiveHandler, TdiDefaultRcvExpeditedHandler, TdiDefaultReceiveHandler > WMILIB.SYS: WmiCompleteRequest, WmiSystemControl ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (51.1%) Win16/32 Executable Delphi generic (12.4%) Clipper DOS Executable (12.1%) Generic Win/DOS Executable (12.0%) DOS Executable Generic (12.0%) sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Family Safety Filter Driver (TDI) description..: Family Safety Filter Driver (TDI) original name: fssfltr_tdi.sys internal name: fssfltr_tdi.sys file version.: 14.0.8064.0206 comments.....: n/a signers......: Microsoft Corporation Microsoft Code Signing PCA Microsoft Root Authority signing date.: 3:08 AM 2/7/2009 verified.....: - |
Themen zu HEUR/HTML.Malware |
.com, adobe, antivir, antivir guard, avira, desktop, explorer, fehlermeldung, firefox, generic, heur/html.malware, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, malwarebytes anti-malware, malwarebytes' anti-malware, mozilla, plug-in, problem, programme, realtek, senden, softonic, softonic deutsch toolbar, software, system, wichtige daten, windows, windows xp |