Fehlermeldung RUNDLL......flacor.dat Malware?

saschispatz · 20.05.2010, 14:51

Hallo erstmal.........
wie ist das, nur mal so ein Gedankengang von mir; wenn man das 2. Benutzerkonto (in meinem Fall "Gäste") löschen würde und anschließend ein neues erstellen würde, zum surfen im Netz; könnte das etwas bringen, bzw. den Fehler beseitigen? Oder ist die Meldung ein eindeutiges Zeichen, dass irgendwelche Schadsoftware aktiv ist?
Grüsse.....Sascha

Larusso · 20.05.2010, 15:16

Ist auf jedenfall eine Möglichkeit und wahrscheinlich auch die Sinnvollste. Denoch will ich dem ein bisschen auf den Zahn fühlen woher das kommt.

Verwende bitte CCleaner wie in der Anleitung beschrieben.

schritt 2
Starte bitte Systemlook.exe und füge folgendes ein.

Code:

ATTFilter

:regfind
rundll32.exe

Sollte die Logfile wieder enorm lange sein, bitte bei File Upload hochladen und mir den Downloadlink schicken.

saschispatz · 20.05.2010, 15:44

hallo, erstmal................
ccleaner ist gelaufen, waren aber nur 3 oder vier veraltete.
Ich habe gestern mal secunia laufen lassen, ob ich Sicherheitslücken habe......alles auf dem neuesten Stand, falls irgendetwas auffällig ist; dachte, das solltest du wissen.
Die Log ist wieder lang
per pn.

saschispatz · 20.05.2010, 15:51

noch etwas, muss gleich zum Zahnklempner, bin also erst wieder so gegen 19/19.30 Uhr wieder zu Hause; nicht dass du denkst, ich hätte keinen Bock mehr, oder die Hoffnung aufgegeben...........*g*
so long, Sascha

saschispatz · 21.05.2010, 16:29

Hallo.............hat doch etwas länger gedauert gestern; kam nicht mehr an den PC, sorry.
Also, ich habe das Benutzerkonto gelöscht; ccleaner laufen lassen und die Wiederherstellungspunkte auch gelöscht (sicherheitshalber)..........jaja, habe noch eine Reg. Sicherung.
System läuft sauber und stabil, zumindest bis jetzt......
Was nun? Sollte ich einen Malw.-Suchlauf starten, und wenn im abgesicherten Modus, oder als admin?
Ein zweites Konto sollte ich wohl wieder erstellen.........oder noch warten?........warte lieber mal ab, bis du dich wieder meldest. Bis dann.....

saschispatz · 21.05.2010, 17:15

so, neues Konto ist erstellt...............trau´mich aber gar nicht zum Login.......

Melde mich wieder, mit Details............so Long

Sascha

saschispatz · 21.05.2010, 19:21

neues Gastkonto ist erstellt; keine Fehlermeldung; ccleaner ausgeführt und Wiederherstellung hab´ich gelöscht (bis auf eine für den Notfall).
beim 3. Login (neues Konto) erschien eine Dialogbox, mit einem Hinweis, von wegen Systemdiagnose etc. ich solle doch im normalen Modus starten; Ist-Zustand ist ja Benutzerdefiniert.
Normal, oder nicht.....ist da schon wieder was auffällig?

hier hab´ich noch den aktuellen Scan von Antivir............das einzige, was neu ist ist dieser dritte Eintrag bei "versteckte Objekte"

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

....stimmt was nicht? Waren sonst immer nur 2 mit geschützter DRM Musik.

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 21. Mai 2010 17:47

Es wird nach 2147543 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Kurz
Computername : XP1600

Versionsinformationen:
BUILD.DAT : 10.0.0.603 36207 Bytes 19.04.2010 15:44:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 13:44:28
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 13:44:28
LUKE.DLL : 10.0.2.3 104296 Bytes 29.03.2010 19:53:09
LUKERES.DLL : 10.0.0.0 13672 Bytes 29.03.2010 19:53:09
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:52:00
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:52:04
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:52:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:52:16
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:52:20
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:56:49
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 13:56:49
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 13:56:49
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 13:56:49
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 13:56:49
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 13:56:49
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 13:56:49
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 13:56:50
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 13:56:50
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:30:14
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 16:29:22
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:52:35
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 13:13:09
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 16:27:52
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 12:58:58
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 13:43:06
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 18:46:19
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:39:24
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 10:29:27
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 12:08:12
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 13:18:12
VBASE026.VDF : 7.10.7.140 2048 Bytes 19.05.2010 13:18:12
VBASE027.VDF : 7.10.7.141 2048 Bytes 19.05.2010 13:18:12
VBASE028.VDF : 7.10.7.142 2048 Bytes 19.05.2010 13:18:12
VBASE029.VDF : 7.10.7.143 2048 Bytes 19.05.2010 13:18:12
VBASE030.VDF : 7.10.7.144 2048 Bytes 19.05.2010 13:18:12
VBASE031.VDF : 7.10.7.154 145920 Bytes 21.05.2010 15:18:12
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 17:37:03
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 13.05.2010 00:51:49
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 00:51:48
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 17:37:04
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 13:56:58
AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 19:52:34
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 00:51:48
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 13:20:16
AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 16:28:29
AEGEN.DLL : 8.1.3.9 377203 Bytes 13.05.2010 00:51:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 17:37:02
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 00:51:47
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:37:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 29.03.2010 19:50:57
AVPREF.DLL : 10.0.0.0 44904 Bytes 29.03.2010 19:52:46
AVREP.DLL : 10.0.0.8 62209 Bytes 29.03.2010 19:53:36
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 13:44:28
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 13:44:28
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 13:44:28
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 29.03.2010 19:52:41
SQLITE3.DLL : 3.6.19.0 355688 Bytes 29.03.2010 19:53:14
AVSMTP.DLL : 10.0.0.17 63848 Bytes 29.03.2010 19:52:48
NETNT.DLL : 10.0.0.0 11624 Bytes 29.03.2010 19:53:09
RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 19.04.2010 13:44:27
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 13:44:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 21. Mai 2010 17:47

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\checkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\37cd50b2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshta.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD10Serv.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1744' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:' <SYSTEM>

Ende des Suchlaufs: Freitag, 21. Mai 2010 19:45
Benötigte Zeit: 1:58:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8362 Verzeichnisse wurden überprüft
661236 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
661236 Dateien ohne Befall
8356 Archive wurden durchsucht
0 Warnungen
0 Hinweise
400095 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

saschispatz · 21.05.2010, 21:35

kann hier niemand etwas zu dieser Infobox sagen, vom Systemkonfigurationsprogramm?
Mittlerweile kommt die auch im Admin-konto; habe nichts geändert; Systemstart steht auf Benutzerdefiniert und alle Kästchen sind markiert, bzw. abgehakt.?
Grüsse Sascha

saschispatz · 21.05.2010, 21:40

die msconfig startet nach der Meldung automatisch im admin-Konto; beim eingeschr. Konto kommt dann die übliche Fehlermeldung....vonwegen Adminrechten.

Sascha

saschispatz · 22.05.2010, 01:11

msconfig-Problem ist i.O.
abschließend habe ich einen online-Scan mit Bitdefender gemacht; ohne Befund; währenddessen meldet sich mein Avira-Guard mit einem Fund in einer verwaisten admin-Datei, die ich damals nur noch umbenennen konnte, habe aber jetzt keinen Zugriff mehr/ kann sie nicht öffnen (linksklick= Ordner leer, 0 Bytes, komisch).
Jedenfalls habe ich die Datei erkannt; kleines Desktop-Spielchen, welches meine Tochter vor Jahren immer gespielt hat (Jump and run-Game)
hier mal ein paar Daten:
Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 21. Mai 2010 17:47

Es wird nach 2147543 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Kurz
Computername : XP1600

Versionsinformationen:
BUILD.DAT : 10.0.0.603 36207 Bytes 19.04.2010 15:44:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 13:44:28
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 13:44:28
LUKE.DLL : 10.0.2.3 104296 Bytes 29.03.2010 19:53:09
LUKERES.DLL : 10.0.0.0 13672 Bytes 29.03.2010 19:53:09
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:52:00
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:52:04
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:52:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:52:16
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:52:20
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:56:49
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 13:56:49
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 13:56:49
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 13:56:49
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 13:56:49
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 13:56:49
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 13:56:49
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 13:56:50
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 13:56:50
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:30:14
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 16:29:22
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:52:35
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 13:13:09
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 16:27:52
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 12:58:58
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 13:43:06
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 18:46:19
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:39:24
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 10:29:27
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 12:08:12
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 13:18:12
VBASE026.VDF : 7.10.7.140 2048 Bytes 19.05.2010 13:18:12
VBASE027.VDF : 7.10.7.141 2048 Bytes 19.05.2010 13:18:12
VBASE028.VDF : 7.10.7.142 2048 Bytes 19.05.2010 13:18:12
VBASE029.VDF : 7.10.7.143 2048 Bytes 19.05.2010 13:18:12
VBASE030.VDF : 7.10.7.144 2048 Bytes 19.05.2010 13:18:12
VBASE031.VDF : 7.10.7.154 145920 Bytes 21.05.2010 15:18:12
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 17:37:03
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 13.05.2010 00:51:49
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 00:51:48
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 17:37:04
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 13:56:58
AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 19:52:34
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 00:51:48
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 13:20:16
AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 16:28:29
AEGEN.DLL : 8.1.3.9 377203 Bytes 13.05.2010 00:51:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 17:37:02
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 00:51:47
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:37:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 29.03.2010 19:50:57
AVPREF.DLL : 10.0.0.0 44904 Bytes 29.03.2010 19:52:46
AVREP.DLL : 10.0.0.8 62209 Bytes 29.03.2010 19:53:36
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 13:44:28
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 13:44:28
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 13:44:28
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 29.03.2010 19:52:41
SQLITE3.DLL : 3.6.19.0 355688 Bytes 29.03.2010 19:53:14
AVSMTP.DLL : 10.0.0.17 63848 Bytes 29.03.2010 19:52:48
NETNT.DLL : 10.0.0.0 11624 Bytes 29.03.2010 19:53:09
RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 19.04.2010 13:44:27
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 13:44:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 21. Mai 2010 17:47

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\checkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\37cd50b2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshta.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD10Serv.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1744' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:' <SYSTEM>

Ende des Suchlaufs: Freitag, 21. Mai 2010 19:45
Benötigte Zeit: 1:58:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8362 Verzeichnisse wurden überprüft
661236 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
661236 Dateien ohne Befall
8356 Archive wurden durchsucht
0 Warnungen
0 Hinweise
400095 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

saschispatz · 22.05.2010, 01:19

uuups..........war die falsche:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 22. Mai 2010 00:47

Es wird nach 2148185 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XP1600

Versionsinformationen:
BUILD.DAT : 10.0.0.603 36207 Bytes 19.04.2010 15:44:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 13:44:28
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 13:44:28
LUKE.DLL : 10.0.2.3 104296 Bytes 29.03.2010 19:53:09
LUKERES.DLL : 10.0.0.0 13672 Bytes 29.03.2010 19:53:09
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:52:00
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:52:04
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:52:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:52:16
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:52:20
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:56:49
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 13:56:49
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 13:56:49
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 13:56:49
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 13:56:49
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 13:56:49
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 13:56:49
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 13:56:50
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 13:56:50
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:30:14
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 16:29:22
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:52:35
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 13:13:09
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 16:27:52
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 12:58:58
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 13:43:06
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 18:46:19
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:39:24
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 10:29:27
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 12:08:12
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 13:18:12
VBASE026.VDF : 7.10.7.140 2048 Bytes 19.05.2010 13:18:12
VBASE027.VDF : 7.10.7.141 2048 Bytes 19.05.2010 13:18:12
VBASE028.VDF : 7.10.7.142 2048 Bytes 19.05.2010 13:18:12
VBASE029.VDF : 7.10.7.143 2048 Bytes 19.05.2010 13:18:12
VBASE030.VDF : 7.10.7.144 2048 Bytes 19.05.2010 13:18:12
VBASE031.VDF : 7.10.7.155 155648 Bytes 21.05.2010 16:15:19
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 17:37:03
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 13.05.2010 00:51:49
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 00:51:48
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 17:37:04
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 13:56:58
AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 19:52:34
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 00:51:48
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 13:20:16
AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 16:28:29
AEGEN.DLL : 8.1.3.9 377203 Bytes 13.05.2010 00:51:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 17:37:02
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 00:51:47
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:37:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 29.03.2010 19:50:57
AVPREF.DLL : 10.0.0.0 44904 Bytes 29.03.2010 19:52:46
AVREP.DLL : 10.0.0.8 62209 Bytes 29.03.2010 19:53:36
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 13:44:28
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 13:44:28
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 13:44:28
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 29.03.2010 19:52:41
SQLITE3.DLL : 3.6.19.0 355688 Bytes 29.03.2010 19:53:14
AVSMTP.DLL : 10.0.0.17 63848 Bytes 29.03.2010 19:52:48
NETNT.DLL : 10.0.0.0 11624 Bytes 29.03.2010 19:53:09
RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 19.04.2010 13:44:27
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 13:44:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4c30cd92\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 22. Mai 2010 00:47

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD10Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Kurz\_Dateien von Kurz\Alina\fatgames\Ufo.exe'
C:\Dokumente und Einstellungen\Kurz\_Dateien von Kurz\Alina\fatgames\Ufo.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Justfun.A.4

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Kurz\_Dateien von Kurz\Alina\fatgames\Ufo.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Justfun.A.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e17a1d4.qua' verschoben!

Ende des Suchlaufs: Samstag, 22. Mai 2010 00:52
Benötigte Zeit: 03:47 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
40 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
39 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
48847 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Die Suchergebnisse werden an den Guard übermittelt.

hier noch ein System-Look

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 01:51 on 22/05/2010 by Kurz (Administrator - Elevation successful)

========== regfind ==========

Searching for "ufo.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"
[HKEY_USERS\S-1-5-21-57989841-813497703-1708537768-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"
[HKEY_USERS\S-1-5-21-57989841-813497703-1708537768-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"
[HKEY_USERS\S-1-5-21-57989841-813497703-1708537768-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"
[HKEY_USERS\S-1-5-21-57989841-813497703-1708537768-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Dokumente und Einstellungen\Kurz\Desktop\Ufo.exe"

-=End Of File=-

Also ich erinnere mich noch an dieses Spielchen, dass meine Tochter öfters an meinem PC gespielt hat, ist aber schon Jahre her; nie Probleme, wurde von mir vor längerer Zeit gelöscht, bzw. deinstalliert.
Vieleicht Fehlalarm?
Habe die Datei auch bei Virustotal hochgeladen............waren doch schon 18 Alarme...........verstehe ich alles nicht.
Kann mir da jemand weiterhelfen, bitte?
Was kann ich nun tun um Sicherheit zu haben, dass laut meiner letzten Scan´s ,das System sauber ist??
Sascha

Angel21 · 22.05.2010, 12:22

Hole mal die Datei aus der Avira Quarantäne raus.
Gehe auf die Quarantäne und hole die Ufo.exe mit Wiederherstellen nach....(Desktop ist da dein Anlaufplatz) her und lade sie bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das Resultat hier her.

saschispatz · 22.05.2010, 15:23

Hallo Angel21, vielen Dank erstmal, für deine Hilfe.
Hier das Post von Virus Total.......

Datei Ufo.exe empfangen 2010.05.22 14:16:51 (UTC)
Status: Beendet

Ergebnis: 18/41 (43.90%)
Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.21 BDS/Justfun.A.4
Antiy-AVL 2.0.3.7 2010.05.21 Backdoor/Win32.Agent.gen
Authentium 5.2.0.5 2010.05.22 -
Avast 4.8.1351.0 2010.05.22 -
Avast5 5.0.332.0 2010.05.22 -
AVG 9.0.0.787 2010.05.22 -
BitDefender 7.2 2010.05.22 -
CAT-QuickHeal 10.00 2010.05.21 -
ClamAV 0.96.0.3-git 2010.05.22 Trojan.Agent-28377
Comodo 4910 2010.05.22 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.05.22 -
eSafe 7.0.17.0 2010.05.20 Win32.Banker
eTrust-Vet 35.2.7503 2010.05.21 -
F-Prot 4.6.0.103 2010.05.22 -
F-Secure 9.0.15370.0 2010.05.22 -
Fortinet 4.1.133.0 2010.05.22 -
GData 21 2010.05.22 -
Ikarus T3.1.1.84.0 2010.05.22 -
Jiangmin 13.0.900 2010.05.21 TrojanDropper.Agent.afed
Kaspersky 7.0.0.125 2010.05.22 -
McAfee 5.400.0.1158 2010.05.22 Generic.dx!bq
McAfee-GW-Edition 2010.1 2010.05.22 Generic.dx!bq
Microsoft 1.5802 2010.05.22 -
NOD32 5137 2010.05.22 -
Norman 6.04.12 2010.05.22 W32/Suspicious_Gen.FJSU
nProtect 2010-05-22.01 2010.05.22 -
Panda 10.0.2.7 2010.05.22 Trj/CI.A
PCTools 7.0.3.5 2010.05.22 -
Prevx 3.0 2010.05.22 High Risk Worm
Rising 22.48.05.04 2010.05.22 Backdoor.Agent.ajh
Sophos 4.53.0 2010.05.22 Mal/Generic-A
Sunbelt 6338 2010.05.22 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.22 -
TheHacker 6.5.2.0.285 2010.05.22 -
TrendMicro 9.120.0.1004 2010.05.22 TROJ_Gen.4X2666
TrendMicro-HouseCall 9.120.0.1004 2010.05.22 TROJ_Gen.4X2666
VBA32 3.12.12.5 2010.05.22 BackDoor.JustFun
ViRobot 2010.5.20.2326 2010.05.22 Backdoor.Win32.Agent.401724
VirusBuster 5.0.27.0 2010.05.21 -
weitere Informationen
File size: 786830 bytes
MD5 : ea2f03bee8fa0145ce51d0b9d35303e1
SHA1 : e65aa8b0bbc72b90e7feba8493671fca8cdecb2d
SHA256: 6cdf0d89d5fca64e53938db244fb79bea9febef0b042a3dbfbb6606126fac9f2
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x266E0
timedatestamp.....: 0x3C03992C (Tue Nov 27 14:46:20 2001)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3101F 0x31200 6.44 e788ab0ae4ba5499e36ff39c657082e0
TEXT_1 0x33000 0xC4A1 0xC600 6.31 2ad5d97867e60f09fccfbe02e464a418
.rdata 0x40000 0xBE4 0xC00 4.46 02e70499c5eae05f053b3d28bd9cb47f
.data 0x41000 0x6BE8 0x4000 4.28 228a87045c3ffc6f2ac92cf0f47bd1aa
.idata 0x48000 0x1C66 0x1E00 5.33 6efa2add3f791cff5413de0020d4678e
.rsrc 0x4A000 0x31F8 0x3200 4.23 110150a663acfaa4c63749a3301864b2
.reloc 0x4E000 0x47C0 0x4800 6.48 cc37a1d5e566a485d528d653799258c6

( 7 imports )

> advapi32.dll: RegQueryValueA, RegOpenKeyA, RegCloseKey
> cncs232.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> gdi32.dll: LineTo, SelectObject, MoveToEx, Rectangle, CreateHatchBrush, CreatePen, SelectPalette, RealizePalette, CreateSolidBrush, GetStockObject, SetDIBits, CreateCompatibleBitmap, CreateBitmap, CreatePalette, CreateFontIndirectA, GetObjectA, GetTextExtentPointA, GetCharWidthA, GetTextMetricsA, SetROP2, SetBkColor, SetTextColor, GetNearestPaletteIndex, SetBkMode, SetTextAlign, DPtoLP, TextOutA, Polygon, SetPolyFillMode, SelectClipRgn, CreateRectRgn, LPtoDP, DeleteObject
> kernel32.dll: WriteFile, SetFilePointer, CreateFileA, _lread, _lwrite, GetTickCount, ReadFile, CloseHandle, GetLastError, LockResource, lstrlen, GetCommandLineA, _hread, _llseek, lstrcpyA, lstrcatA, lstrcmpA, lstrcpynA, GetCurrentDirectoryA, SetCurrentDirectoryA, CreateDirectoryA, GlobalReAlloc, GlobalAlloc, lstrlenA, GetExitCodeProcess, CreateProcessA, GetTempPathA, GetTempFileNameA, GlobalDeleteAtom, GetVersion, GlobalAddAtomA, GlobalLock, GlobalUnlock, GlobalFree, LoadLibraryA, _lopen, _lclose, SetErrorMode, GetProcAddress, FreeLibrary, RemoveDirectoryA, GetModuleFileNameA, WinExec, LocalAlloc, LocalFree, FindResourceA, SizeofResource, LoadResource, lstrcpy, FreeResource, lstrcmp, lstrcat, FlushFileBuffers, SetStdHandle, GetTimeZoneInformation, GetStringTypeW, GetStringTypeA, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, GetStdHandle, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, RaiseException, GetOEMCP, GetACP, GetCPInfo, LCMapStringW, WideCharToMultiByte, LCMapStringA, MultiByteToWideChar, GetCurrentProcess, TerminateProcess, ExitProcess, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetStartupInfoA, GetModuleHandleA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindNextFileA, FindFirstFileA, SetEnvironmentVariableA, DeleteFileA, HeapSize, HeapFree, HeapReAlloc, HeapCompact, HeapAlloc, RtlUnwind, CompareStringA, CompareStringW, SetEndOfFile
> shell32.dll: ShellExecuteA, DragAcceptFiles, DragQueryFileA
> user32.dll: CreateWindowExA, UnionRect, GetSysColor, SetScrollRange, DrawFocusRect, SetRect, InvertRect, OemToCharA, PtInRect, MessageBoxA, SetWindowTextA, GetDlgItem, wsprintfA, MapVirtualKeyA, GetInputState, PeekMessageA, SetTimer, LoadStringA, SetDlgItemTextA, KillTimer, SetFocus, DestroyWindow, SetScrollPos, GetDlgItemTextA, EndDialog, GetKeyState, PostMessageA, IsZoomed, GetWindowRect, GetMenu, DestroyMenu, LoadMenuA, LoadMenuIndirectA, GetMenuItemCount, DeleteMenu, SetWindowPlacement, IsWindowVisible, ShowWindow, GetWindowPlacement, SetWindowPos, GetMenuState, CheckMenuItem, InvalidateRect, SetCursorPos, GetCursorPos, ShowCursor, GetAsyncKeyState, ClientToScreen, GetActiveWindow, GetFocus, MapWindowPoints, SetPropA, RemovePropA, GetPropA, CallWindowProcA, DefWindowProcA, ReleaseCapture, SetCapture, IntersectRect, GetDesktopWindow, TranslateMessage, DispatchMessageA, UpdateWindow, WinHelpA, SetForegroundWindow, EnumThreadWindows, IsWindow, GetTopWindow, GetClassNameA, GetWindow, LoadIconA, LoadImageA, RegisterClassExA, RegisterClassA, OffsetRect, GetSystemMetrics, AdjustWindowRectEx, CopyRect, DestroyIcon, GetSubMenu, CreateIconIndirect, PostQuitMessage, GetUpdateRect, FillRect, SendMessageA, RedrawWindow, GetClientRect, IsIconic, EnableMenuItem, GetParent, GetDC, ScreenToClient, ReleaseDC, BeginPaint, EndPaint, SendDlgItemMessageA, SetWindowLongA, GetWindowLongA
> winmm.dll: joyGetPos

( 0 exports )

TrID : File type identification
48.4% (.EXE) Win32 Executable MS Visual C++ (generic) (31206/45/13)
20.3% (.SCR) Windows Screen Saver (13105/51/3)
13.2% (.EXE) Win32 Executable Generic (8527/13/3)
11.7% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2)
3.1% (.EXE) Generic Win/DOS Executable (2002/3)
ssdeep: 12288:Ly5NuT5yAzgRgsHtuN6ydBfrdm62i+4em5lyfMnYp3KbmrfP9xDViqlG:Ly5e5MRgsNKpdBfr465b4lp6eFiqg
sigcheck: publisher....: Clickteam
copyright....: Copyright (c) 1998-2001 Clickteam
product......: n/a
description..: Multimedia Fusion Stand Alone Application
original name: cncrt32.exe
internal name: CNCRT32.EXE
file version.: 2.5.105
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=4DAB121E8EA722DD011A0C30EEA84D008806CDCD
PEiD : -
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ea2f03bee8fa0145ce51d0b9d35303e1
RDS : NSRL Reference Data Set

saschispatz · 22.05.2010, 15:55

also, was kann ich tun, um 99%ige Sicherheit zu haben, dass mein System sauber ist?
Es macht jetzt alles einen guten Eindruck.......und läuft stabil.....
Für Anweisungen wäre ich sehr dankbar..
soLong
Sascha

Angel21 · 22.05.2010, 17:18

Zitat:

also, was kann ich tun, um 99%ige Sicherheit zu haben, dass mein System sauber ist?

Neuaufsetzen

Fehlermeldung RUNDLL......flacor.dat Malware?

Plagegeister aller Art und deren Bekämpfung: Fehlermeldung RUNDLL......flacor.dat Malware?