Zitat:

ob ich das zweite von dir erstellte script auch nochmal auf die cam anwenden soll, oder nur auf MP3, externe und USB

...also quasi nur einen durchlauf mit dem 2. script? oder so wie beim 1. script zwei durchläufe?

Zitat:

...also quasi nur einen durchlauf mit dem 2. script?

Ja.

ciao, andreas

sooo...hier das log vom 2. script, was jetzt aber nicht über die Kamera gelaufen ist!

Start => Ausführen => combofix /uninstall => OK

ciao, andreas

av-scan ergebnisse

1. vom USB-Stickt und dem MP3 Player
2. von der Kamera und der externen

Warum bist du traurig? Auf diese Meldungen habe ich die ganze Zeit gewartet, denn das deine externen Datenträger befallen sind, war offensichtlich. Jetzt habe ich endlich einen Ansatzpunkt. Klicke auf die letzten beiden Links in meiner Signatur. Da kannst du etwas über Rattengift lesen. In deinem Fall war es zwar vorhanden, aber du hast es nicht gegessen.

1.) Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
:Files
F:\nymdik.exe
F:\DPFMate.exe
F:\ysyjq1bs.exe
F:\RAPO
G:\nymdik.exe
G:\DPFMate.exe
G:\ysyjq1bs.exe
G:\RAPO
J:\nymdik.exe
J:\DPFMate.exe
J:\ysyjq1bs.exe
J:\RAPO
:Commands
[purity]
[resethosts]
[emptyflash]
[emptytemp]
         

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.) Erstelle und poste neue Logs mit OTL. Die externen Datenträger müssen angeschlossen sein. Du kannst OTL auch zweimal laufen lassen, wenn es nicht anders geht.

3.) Packe den Ordner C:\_OTL mit ZIP oder RAR und lade das Archiv bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2).

ciao, andreas

Zitat:

Jetzt habe ich endlich einen Ansatzpunkt

ach super ich dachte die hätten durch combofix schon gelöscht werden sollen, weil da "Kill all" stand

hier das erste log mit USB und MP3 (die infizierten glaub ich, ne?) jetzt lass ichs nochmal über die Externe und Kamera laufen.

Edit: und hier noch das zweite Log mit Externer und Kamera

Hilfe! was hab ich falsch gemacht???ich hab mit rechtsklick auf den Ordner und "packen" oderso geklickt und dann ist Avira beim Packen aufgeploppt und meldet wieder den Fund und WinRar sagt, dass er diese beiden nicht verschieben kann.

ich schick das gezippte mal, aber da sind die beiden wieder nicht drin denk ich


avira Log vom Fund:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 2. September 2010  21:19

Es wird nach 2771546 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : KATHRIN

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:36
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:18
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:33:00
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:48
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:50
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:44
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:44
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:04
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 19:59:11
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 19:59:28
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 19:59:48
VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 19:59:49
VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 19:59:49
VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 19:59:49
VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 19:59:49
VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 19:59:49
VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 19:59:49
VBASE014.VDF   : 7.10.9.255    997888 Bytes  29.07.2010 19:59:54
VBASE015.VDF   : 7.10.10.28    139264 Bytes  02.08.2010 19:59:54
VBASE016.VDF   : 7.10.10.52    127488 Bytes  03.08.2010 19:59:55
VBASE017.VDF   : 7.10.10.84    137728 Bytes  06.08.2010 19:59:56
VBASE018.VDF   : 7.10.10.107   176640 Bytes  09.08.2010 19:59:56
VBASE019.VDF   : 7.10.10.130   132608 Bytes  10.08.2010 19:59:57
VBASE020.VDF   : 7.10.10.158   131072 Bytes  12.08.2010 19:59:58
VBASE021.VDF   : 7.10.10.190   136704 Bytes  16.08.2010 19:59:58
VBASE022.VDF   : 7.10.10.217   118272 Bytes  19.08.2010 19:59:59
VBASE023.VDF   : 7.10.10.246   130048 Bytes  23.08.2010 19:59:59
VBASE024.VDF   : 7.10.11.11    144896 Bytes  25.08.2010 20:00:00
VBASE025.VDF   : 7.10.11.33    135168 Bytes  27.08.2010 20:00:01
VBASE026.VDF   : 7.10.11.52    148992 Bytes  31.08.2010 21:18:43
VBASE027.VDF   : 7.10.11.53      2048 Bytes  31.08.2010 21:18:43
VBASE028.VDF   : 7.10.11.54      2048 Bytes  31.08.2010 21:18:44
VBASE029.VDF   : 7.10.11.55      2048 Bytes  31.08.2010 21:18:44
VBASE030.VDF   : 7.10.11.56      2048 Bytes  31.08.2010 21:18:44
VBASE031.VDF   : 7.10.11.68     91648 Bytes  01.09.2010 21:18:44
Engineversion  : 8.2.4.46  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  28.08.2010 20:00:15
AESCRIPT.DLL   : 8.1.3.44     1364346 Bytes  28.08.2010 20:00:15
AESCN.DLL      : 8.1.6.1       127347 Bytes  28.08.2010 20:00:13
AESBX.DLL      : 8.1.3.1       254324 Bytes  28.08.2010 20:00:16
AERDL.DLL      : 8.1.8.2       614772 Bytes  28.08.2010 20:00:13
AEPACK.DLL     : 8.2.3.5       471412 Bytes  28.08.2010 20:00:12
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  28.08.2010 20:00:11
AEHEUR.DLL     : 8.1.2.19     2867574 Bytes  28.08.2010 20:00:10
AEHELP.DLL     : 8.1.13.3      242038 Bytes  28.08.2010 20:00:05
AEGEN.DLL      : 8.1.3.20      397684 Bytes  28.08.2010 20:00:04
AEEMU.DLL      : 8.1.2.0       393588 Bytes  28.08.2010 20:00:03
AECORE.DLL     : 8.1.16.2      192887 Bytes  28.08.2010 20:00:03
AEBB.DLL       : 8.1.1.0        53618 Bytes  28.08.2010 20:00:02
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:12
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:08
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:42
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:46
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:50
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:12
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:26
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:54
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:56
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:56
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:10
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4cbf1439\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Donnerstag, 2. September 2010  21:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wisptis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTSRV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PVRService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ODSBCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\_OTL\MovedFiles\09022010_205643\F_\nymdik.exe'
C:\_OTL\MovedFiles\09022010_205643\F_\nymdik.exe
    [FUND]      Ist das Trojanische Pferd TR/PSW.OnLineGa.bbe
Beginne mit der Suche in 'C:\_OTL\MovedFiles\09022010_205643\J_\RAPO\drogeras.exe'
C:\_OTL\MovedFiles\09022010_205643\J_\RAPO\drogeras.exe
    [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Palevo.jub.599

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\09022010_205643\J_\RAPO\drogeras.exe
    [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Palevo.jub.599
    [WARNUNG]   Die Datei wurde ignoriert.
C:\_OTL\MovedFiles\09022010_205643\F_\nymdik.exe
    [FUND]      Ist das Trojanische Pferd TR/PSW.OnLineGa.bbe
    [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Donnerstag, 2. September 2010  21:20
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     46 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     44 Dateien ohne Befall
      0 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
         

Schalte den Wächter von Avira ab (Regenschirm geschlossen), packe, schalte den Wächter von Avira wieder ein.

ciao, andreas

pardon^^

Macht doch nix, ich mag dich noch immer.

Oha, fiese Teile.

Code: Alles auswählenAufklappen

ATTFilter

File name: 
nymdik.exe
Submission date: 
2010-09-02 19:48:53 (UTC)
Current status: 
finished
Result: 
41/ 42 (97.6%)	VT Community

not reviewed
 Safety score: - 

Compact 
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2010.09.02.05	2010.09.02	Dropper/OnlineGameHack.121316
AntiVir	8.2.4.46	2010.09.02	TR/PSW.OnLineGa.bbe
Antiy-AVL	2.0.3.7	2010.09.02	Trojan/Win32.Magania.gen
Authentium	5.2.0.5	2010.09.02	W32/Onlinegames.CRA
Avast	4.8.1351.0	2010.09.02	Win32:Crypt-FRO
Avast5	5.0.594.0	2010.09.02	Win32:Crypt-FRO
AVG	9.0.0.851	2010.09.02	Worm/AutoRun.IJ
BitDefender	7.2	2010.09.02	Trojan.Agent.AORM
CAT-QuickHeal	11.00	2010.09.02	Trojan.Agent.WD
ClamAV	0.96.2.0-git	2010.09.02	-
Comodo	5948	2010.09.02	TrojWare.Win32.Trojan.Agent.Gen
Emsisoft	5.0.0.37	2010.09.02	Trojan-GameThief.Win32.Magania!IK
eSafe	7.0.17.0	2010.09.01	Win32.Infostealer.Ga
eTrust-Vet	36.1.7832	2010.09.02	Win32/Taterf.AU
F-Prot	4.6.1.107	2010.09.01	W32/Onlinegames.CRA
F-Secure	9.0.15370.0	2010.09.02	Packed:W32/NSAnti.gen!C
Fortinet	4.1.143.0	2010.09.02	W32/OnlineGames!tr
GData	21	2010.09.02	Trojan.Agent.AORM
Ikarus	T3.1.1.88.0	2010.09.02	Trojan-GameThief.Win32.Magania
Jiangmin	13.0.900	2010.08.30	Trojan/PSW.Magania.afif
K7AntiVirus	9.63.2424	2010.09.02	Trojan
Kaspersky	7.0.0.125	2010.09.02	Trojan-GameThief.Win32.Magania.cqpz
McAfee	5.400.0.1158	2010.09.02	Generic PWS.ak
McAfee-GW-Edition	2010.1B	2010.09.02	Heuristic.LooksLike.Win32.Suspicious.C
Microsoft	1.6103	2010.09.02	Worm:Win32/Taterf.B
NOD32	5419	2010.09.02	Win32/PSW.OnLineGames.NNU
Norman	6.05.11	2010.09.02	OnLineGames.KGCC
nProtect	2010-09-02.01	2010.09.02	Trojan-PWS/W32.WebGame.121316
Panda	10.0.2.7	2010.09.02	W32/Lineage.LGQ
PCTools	7.0.3.5	2010.09.02	Trojan-PSW.Gampass
Prevx	3.0	2010.09.02	Medium Risk Malware
Rising	22.63.03.03	2010.09.02	Trojan.PSW.Win32.GameOLx.atx
Sophos	4.57.0	2010.09.02	Mal/Taterf-A
Sunbelt	6825	2010.09.02	Trojan.Win32.Generic!SB.0
SUPERAntiSpyware	4.40.0.1006	2010.09.02	Trojan.Agent/Gen-FakeAlert
Symantec	20101.1.1.7	2010.09.02	Infostealer.Gampass
TheHacker	6.5.2.1.361	2010.09.02	Trojan/Magania.cqpz
TrendMicro	9.120.0.1004	2010.09.02	WORM_TATERF.SMB
TrendMicro-HouseCall	9.120.0.1004	2010.09.02	WORM_TATERF.SMB
VBA32	3.12.14.0	2010.09.02	Worm.Win32.AutoRun.hby
ViRobot	2010.8.31.4017	2010.09.02	Trojan.Win32.PSWMagania.121316
VirusBuster	12.64.15.0	2010.09.02	Worm.Taterf.BVP
Additional information
Show all 
MD5   : b80242af0137f4f69fee499ed5790134
SHA1  : 389c4a288c1a4c8c6c343838d0dd0bb0c986da34
SHA256: 770b86c93ac9bc77ed4309151cd18b8b2197d1be0c90cfa477c808d1b8929957
ssdeep: 3072:/ZKnimNWj1jOQeo63FFm2GYmZt/XVL9YKaijjMRS:OimNWpyQef1mZNFL9DjMR
File size : 121316 bytes
First seen: 2009-12-21 18:28:19
Last seen : 2010-09-02 19:48:53
TrID: 
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck: 
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Prevx Info: 
http://info.prevx.com/aboutprogramtext.asp?PX5=FAFA8933E4266CF4D96B01B50B96D700D8665766
ThreatExpert: 
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=b80242af0137f4f69fee499ed5790134
         

Code: Alles auswählenAufklappen

ATTFilter

File name: 
drogeras.exe
Submission date: 
2010-09-02 19:52:55 (UTC)
Current status: 
finished
Result: 
39/ 43 (90.7%)	VT Community

not reviewed
 Safety score: - 

Compact 
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2010.09.02.05	2010.09.02	Worm/Win32.Palevo
AntiVir	8.2.4.46	2010.09.02	Worm/Palevo.jub.599
Antiy-AVL	2.0.3.7	2010.09.02	Worm/Win32.Palevo.gen
Authentium	5.2.0.5	2010.09.02	W32/Rimecud.J.gen!Eldorado
Avast	4.8.1351.0	2010.09.02	Win32:MalOb-BZ
Avast5	5.0.594.0	2010.09.02	Win32:MalOb-BZ
AVG	9.0.0.851	2010.09.02	Cryptic.AUG
BitDefender	7.2	2010.09.02	Gen:Variant.Bredo.15
CAT-QuickHeal	11.00	2010.09.02	Win32.Packed.Katusha.o.3.Pack
ClamAV	0.96.2.0-git	2010.09.02	BC.Heuristic.Trojan.SusPacked.BF-4.B
Comodo	5948	2010.09.02	Heur.Suspicious
DrWeb	5.0.2.03300	2010.09.02	Win32.HLLW.Autoruner.22584
Emsisoft	5.0.0.37	2010.09.02	Trojan.Win32.Rimecud!IK
eSafe	7.0.17.0	2010.09.01	-
eTrust-Vet	36.1.7832	2010.09.02	Win32/Rimecud.A!Generic
F-Prot	4.6.1.107	2010.09.01	W32/Rimecud.J.gen!Eldorado
F-Secure	9.0.15370.0	2010.09.02	Gen:Variant.Bredo.15
Fortinet	4.1.143.0	2010.09.02	-
GData	21	2010.09.02	Gen:Variant.Bredo.15
Ikarus	T3.1.1.88.0	2010.09.02	Trojan.Win32.Rimecud
Jiangmin	13.0.900	2010.08.30	Worm/Palevo.mlr
K7AntiVirus	9.63.2424	2010.09.02	Riskware
Kaspersky	7.0.0.125	2010.09.02	P2P-Worm.Win32.Palevo.jub
McAfee	5.400.0.1158	2010.09.02	Generic.dx!tnv
McAfee-GW-Edition	2010.1B	2010.09.02	Generic.dx!tnv
Microsoft	1.6103	2010.09.02	Trojan:Win32/Rimecud.A
NOD32	5419	2010.09.02	Win32/Bflient.K
Norman	6.05.11	2010.09.02	W32/Suspicious_Gen2.BXMHV
nProtect	2010-09-02.01	2010.09.02	Worm/W32.Palevo.108544.X
Panda	10.0.2.7	2010.09.02	Trj/CI.A
PCTools	7.0.3.5	2010.09.02	Malware.Pilleuz
Prevx	3.0	2010.09.02	High Risk Cloaked Malware
Rising	22.63.03.03	2010.09.02	Trojan.Win32.Generic.522AD314
Sophos	4.57.0	2010.09.02	Mal/FakeAV-EW
Sunbelt	6825	2010.09.02	Trojan.Win32.Generic!BT
SUPERAntiSpyware	4.40.0.1006	2010.09.02	-
Symantec	20101.1.1.7	2010.09.02	W32.Pilleuz!gen10
TheHacker	6.5.2.1.361	2010.09.02	-
TrendMicro	9.120.0.1004	2010.09.02	TROJ_GEN.R47E1HS
TrendMicro-HouseCall	9.120.0.1004	2010.09.02	TROJ_GEN.R47E1HS
VBA32	3.12.14.0	2010.09.02	Malware-Cryptor.Grygoryi.3
ViRobot	2010.8.31.4017	2010.09.02	Worm.Win32.P2P-Palevo.108544.H
VirusBuster	12.64.15.0	2010.09.02	Worm.P2P.Palevo.UMN
Additional information
Show all 
MD5   : d526417f55df8e86b7be2cb8fe68ec2a
SHA1  : 8b1e76d32b6b7f126678fe5bdb57f5dae084a6d7
SHA256: eb900216bc2f9e0fd8104d137e8d5f8e5dc8cdbff6598976e48b858bb970b595
ssdeep: 1536:wsG8H3RZKpcu1uBHRqpWlpOYsZeQo36PWbUKhFp80ZvQpctbuUi+3YyM71iPm8i:DxRgWu
kBI8vOY5Q9EpdtQEbubku1iPm
File size : 108544 bytes
First seen: 2010-08-24 19:19:12
Last seen : 2010-09-02 19:52:55
TrID: 
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck: 
publisher....: Pnecfu. Sca
copyright....: Gyqsqe, Cpfjamk. Drmnta
product......: Aekahowwyo Iqf Fnh Pi
description..: Orvtpq Cdwep, Wleke
original name: Ugsil, Hy
internal name: Bytlwbj Lp
file version.: 9.5.2500.5700
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Authentium): UPX
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2A650
timedatestamp....: 0x483C0633 (Tue May 27 13:01:39 2008)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x16000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x17000, 0x14000, 0x13800, 7.96, dd3a7f2e1f893269641738b343dcaa93
.rsrc, 0x2B000, 0x7000, 0x6C00, 5.73, 127dbeb9191493ddd7ce66189e9b69c8

[[ 1 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
Prevx Info: 
http://info.prevx.com/aboutprogramtext.asp?PX5=5EB7D29A003180FCA81D01734B9677003ED0FEE8
ThreatExpert: 
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=d526417f55df8e86b7be2cb8fe68ec2a
         

Du musst alle deine Kennwörter ändern!

ciao, andreas

mal wieder

aber so ein mist!
sind die denn jetzt weg? oder muss ich noch was endgültig löschen?...bevor ich die Passwörter 2 mal ändern muss...

1.) Dein OTL-Ordner gibt mir zu denken. Dort finden sich ältere Logs, die nichts mit unserer Aktion zu tun haben. Hat sich dort schon jemand Anderes ausgetobt (ich kann mich beim besten Willen nicht daran erinnern, excel.exe gelöscht zu haben)?

2.)

Zitat:

oder muss ich noch was endgültig löschen?

Ja. Sie waren schon vorher nicht mehr gefährlich. Sie waren zwar da, wurden aber nicht mehr gestartet. Zudem erkennt sie fast jedes Antivirenprogramm. Wenn du auch die letzten Reste entfernt haben möchtest => Starte OTL => Klick auf Bereinigung => Rechner startet neu => Alles weg.

Ich würde gerne noch weitere Scanner einsetzen um 1000% sicher zu gehen. Auch diesmal müssen nur deine externen Datenträger gescannt werden. Alternativ kannst du die auch formatieren, falls du die Daten nicht mehr benötigst.

3.) Poste das Log von SASW => http://www.trojaner-board.de/51871-a...tispyware.html

4.) Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  
  .

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

5.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

6.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ciao, andreas

Zitat:

Zitat von john.doe

1.) Dein OTL-Ordner gibt mir zu denken. Dort finden sich ältere Logs, die nichts mit unserer Aktion zu tun haben. Hat sich dort schon jemand Anderes ausgetobt (ich kann mich beim besten Willen nicht daran erinnern, excel.exe gelöscht zu haben)?

nein, da war sonst niemand dran.
Kann das was mit meinem Windows-Update zu tun haben?
Ich benutz aber eh Open Office, von daher ist es mir nicht aufgefallen und ich brauch es auch nicht.

Zitat:

Ich würde gerne noch weitere Scanner einsetzen um 1000% sicher zu gehen. Auch diesmal müssen nur deine externen Datenträger gescannt werden. Alternativ kannst du die auch formatieren, falls du die Daten nicht mehr benötigst.

nee, die brauch ich leider noch

jetzt geh ich bereinigen und dann schlafen, vielen Dank und gute Nacht

Gute Nacht, andreas