Guten Abend liebe Trojaner-Boarder,

Gestern, am späten Nachmittag, habe ich mir wohl die beiden genannten Malwares eingefangen (Windows XP). Ich benutze meinen Laptop seit 5 Jahren, wirklich auskennen tu ich mich aber nicht damit. Da ich keinen zweiten PC habe, blieb mir nichts anderes übrig, als mit dem infizierten PC das Internet nach Lösungsanleitungen zu durchforsten und bin dann bei euch gelandet.

Ich habe dann nach einigen Schwierigkeiten rkill so oft geöffnet, bis die Malwares mich beim Starten des Computers in Ruhe gelassen haben (musste dafür schnell sein - noch während windows am hochfahren war). Davor durfte ich weder auf Systemsteuerung, noch Programmauswahl oder mein Virenprogramm AVG zugreifen, geschweigedenn Malwarebytes installieren oder öffnen, da die Malware das stets unterbunden hat ("Die und die Datei möchte Deine Kreditkarteninfos ausspionieren").

Nachdem beim Starten keine Meldungen mehr aufgepoppt sind, habe ich Malwarebytes über den Computer laufen lassen. Danach AVG. Dazwischen immer wieder mit CCleaner sauber gemacht (Temporäre Dateien und Registry).

Ich bin jetzt beim zweiten Durchgang mit Malwarebytes, habe zwischendurch den Computer nicht heruntergefahren. Immer wieder poppt auch wieder AVG auf, und meldet dass er wieder einen "neuen" Trojaner gefunden hat.

Ein paar Dateien .exe und .bat in lokale Einstellungen/temp habe ich mit Sweepi Slicer gelöscht, die eindeutig zur Malware gehört haben (Datum der Installation, Herkunft).

Neu Formatieren kann ich im Moment nicht, da mir die System-CD dafür fehlt.

Was würdet ihr mir als nächstes raten?

Habe mit dem Computer auch schon Internetbanking betrieben, natürlich nicht seit Malwarebefall, und habe auch keine Kennworter gespeichert. Sollte ich trotzdem Sicherungs-Schritte unternehmen?

Ich bin für jeden Hinweis dankbar!
Viele Grüße
katholumbien

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes - alle Scanergebnisse bitte posten!
AVG
         

1.
- Lade dir Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
CCleaner starten:
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
Coverflow

Guten Abend,

ich habe gestern abend und heute morgen schon Malwarebytes und AVG scannen lassen, und sie haben eine Menge gefunden -> ab in die Quarantäne.

Jetzt habe ich eben Mylwarebyte und AVG zum zweiten Mal drüber laufen lassen, hier wie gewünscht die Ergebnisse:
----------------------------------------------------------------------
Mawarebyte:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4610

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14.09.2010 21:51:47
mbam-log-2010-09-14 (21-51-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 190492
Laufzeit: 1 Stunde(n), 0 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----------------------------------------------------------------------
AVG:
Scan "Gesamten Computer scannen" wurde beendet.
Infektionen;"1";"1";"0"
Warnungen;"1";"1";"0"
Für den Scanvorgang ausgewählte Ordner:;"Gesamten Computer scannen"
Start des Scans:;"Dienstag, 14. September 2010, 21:53:27"
Scan beendet:;"Dienstag, 14. September 2010, 22:53:48 (1 Stunde(n) 20 Sekunde(n))"
Gesamtanzahl gescannter Objekte:;"232380"
Benutzer, der den Scan gestartet hat:;"xxx"

Infektionen
Datei;"Infektion";"Ergebnis"
C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\msoxcwearn.tmp;"Trojaner: Generic19.MYI";"In Virenquarantäne verschoben"

Warnungen
Datei;"Infektion";"Ergebnis"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\msoxcwearn.tmp;"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\msoxcwearn.tmp gefunden";"In Virenquarantäne verschoben"
--------------------------------------------------------------------

Werde nun die beginnen die ersten empfohlenen Schritte auszuführen, melde mich, falls ich Fragen habe.

Vielen Dank schonmal!

Gewünschte Daten im Anhang

Leider scheint meine hjtscanlist.txt Probleme zu machen, die Verbindung ist ständig getrennt, wenn ich verscuhe die Datei anzuhängen, reinzukopieren oder auch nur Teile reinzukopieren (einer ging, aber gleich der nächste Abschnitt war zu groß).

Gibt es noch ein Möglichkeit die Datei hier für Dich zu posten?

Editiert: Ich kann die Datei auch nicht als PN schicken

@katholumbien

gehe folgendermaßen vor: Logs als Anhang

Guten Morgen,

und vielen Dank Da Guru, das mit dem zippen hat problemlos geklappt.
Im Anhang die Daten!

Viele Grüße!

Guten Abend,

folgende Symptome treten zurzeit auf:

- Sporadisch öffnen sich Fenster, teils mit Werbung, teils öffnen sich Links zu Themen wie "Windows update Trojaner" auf ganz anderen Seiten (wo ich dubiose Links clicken soll)

- Außerdem zeigt der Browser "Verbindungsfehler" an ,sobald ich nur in die Nähe von Seiten zu Windows updates komme

Sonst ist egtl alles ruhig...

Anbei noch das Protokoll der ersten Reinigung mit malwarebyte

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4610

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14.09.2010 07:24:31
mbam-log-2010-09-14 (07-24-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 194100
Laufzeit: 1 Stunde(n), 28 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\com+ manager (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\otgv1dnwqq (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yxe7dxcq37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\225.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\226.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\sxcfgslr.exe (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\msoxcwearn .exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\stpdd292.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\erocnmwxas.tmp (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\aroceswnmx .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\enocwsmxra.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00   .exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\FOUND.000\FILE0002.CHK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\FOUND.000\FILE0004.CHK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\.COMMgr\complmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\n40k3.com (Malware.Generic) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\Ycz.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\aroceswnmx.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\Yc4         .exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
         

1.
unter Start->Programme-> Zubehör-> Systemprogramme-> geplante Tasks (Anleitung-> Ändern geplanter Tasks in Windows XP und dort auch einfach löschen:

Code: Alles auswählenAufklappen

ATTFilter

 14.09.2010 23:00     C:\WINDOWS\Tasks\At48.job --------- 428 
 14.09.2010 23:00     C:\WINDOWS\Tasks\At72.job --------- 428 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At141.job --------- 348 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At140.job --------- 342 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At139.job --------- 342 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At23.job --------- 342 
 14.09.2010 22:00     C:\WINDOWS\Tasks\At47.job --------- 428 
 14.09.2010 22:00     C:\WINDOWS\Tasks\At71.job --------- 428 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At137.job --------- 342 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At138.job --------- 348 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At22.job --------- 342 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At136.job --------- 342 
 14.09.2010 21:00     C:\WINDOWS\Tasks\At46.job --------- 428 
 14.09.2010 21:00     C:\WINDOWS\Tasks\At70.job --------- 428 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At134.job --------- 342 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At21.job --------- 342 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At135.job --------- 348 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At133.job --------- 342 
 14.09.2010 20:00     C:\WINDOWS\Tasks\At45.job --------- 428 
 14.09.2010 20:00     C:\WINDOWS\Tasks\At69.job --------- 428 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At130.job --------- 342 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At132.job --------- 348 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At20.job --------- 342 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At131.job --------- 342 
 14.09.2010 19:00     C:\WINDOWS\Tasks\At44.job --------- 428 
 14.09.2010 19:00     C:\WINDOWS\Tasks\At68.job --------- 428 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At128.job --------- 342 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At127.job --------- 342 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At19.job --------- 342 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At129.job --------- 348 
 14.09.2010 18:00     C:\WINDOWS\Tasks\At67.job --------- 428 
 14.09.2010 18:00     C:\WINDOWS\Tasks\At43.job --------- 428 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At126.job --------- 348 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At125.job --------- 342 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At124.job --------- 342 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At18.job --------- 342 
 14.09.2010 17:00     C:\WINDOWS\Tasks\At42.job --------- 428 
 14.09.2010 17:00     C:\WINDOWS\Tasks\At66.job --------- 428 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At123.job --------- 348 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At17.job --------- 342 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At122.job --------- 342 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At121.job --------- 342 
 14.09.2010 16:00     C:\WINDOWS\Tasks\At65.job --------- 428 
 14.09.2010 16:00     C:\WINDOWS\Tasks\At41.job --------- 428 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At118.job --------- 342 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At119.job --------- 342 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At120.job --------- 348 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At16.job --------- 342 
 14.09.2010 15:00     C:\WINDOWS\Tasks\At64.job --------- 428 
 14.09.2010 15:00     C:\WINDOWS\Tasks\At40.job --------- 428 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At15.job --------- 342 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At115.job --------- 342 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At116.job --------- 342 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At117.job --------- 348 
 14.09.2010 14:00     C:\WINDOWS\Tasks\At39.job --------- 428 
 14.09.2010 14:00     C:\WINDOWS\Tasks\At63.job --------- 428 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At114.job --------- 348 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At112.job --------- 342 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At14.job --------- 342 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At113.job --------- 342 
 14.09.2010 13:00     C:\WINDOWS\Tasks\At38.job --------- 428 
 14.09.2010 13:00     C:\WINDOWS\Tasks\At62.job --------- 428 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At111.job --------- 348 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At109.job --------- 342 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At110.job --------- 342 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At13.job --------- 342 
 14.09.2010 12:00     C:\WINDOWS\Tasks\At61.job --------- 428 
 14.09.2010 12:00     C:\WINDOWS\Tasks\At37.job --------- 428 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At12.job --------- 342 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At106.job --------- 342 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At107.job --------- 342 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At108.job --------- 348 
 14.09.2010 11:00     C:\WINDOWS\Tasks\At36.job --------- 428 
 14.09.2010 11:00     C:\WINDOWS\Tasks\At60.job --------- 428 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At104.job --------- 342 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At11.job --------- 342 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At105.job --------- 348 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At103.job --------- 342 
 14.09.2010 10:00     C:\WINDOWS\Tasks\At59.job --------- 428 
 14.09.2010 10:00     C:\WINDOWS\Tasks\At35.job --------- 428 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At101.job --------- 342 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At100.job --------- 342 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At10.job --------- 342 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At102.job --------- 348 
 14.09.2010 09:00     C:\WINDOWS\Tasks\At34.job --------- 428 
 14.09.2010 09:00     C:\WINDOWS\Tasks\At58.job --------- 428 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At9.job --------- 342 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At97.job --------- 342 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At98.job --------- 342 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At99.job --------- 348 
 14.09.2010 08:00     C:\WINDOWS\Tasks\At57.job --------- 428 
 14.09.2010 08:00     C:\WINDOWS\Tasks\At33.job --------- 428 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At95.job --------- 342 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At8.job --------- 342 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At94.job --------- 342 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At96.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At91.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At92.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At93.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At142.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At143.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At144.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At73.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At74.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At75.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At76.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At90.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At78.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At79.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At80.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At81.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At82.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At83.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At84.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At85.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At86.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At87.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At88.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At89.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At77.job --------- 342 
 14.09.2010 07:00     C:\WINDOWS\Tasks\At32.job --------- 428 
 14.09.2010 07:00     C:\WINDOWS\Tasks\At56.job --------- 428 
 14.09.2010 06:45     C:\WINDOWS\Tasks\At7.job --------- 342 
 14.09.2010 06:00     C:\WINDOWS\Tasks\At31.job --------- 428 
 14.09.2010 06:00     C:\WINDOWS\Tasks\At55.job --------- 428 
 14.09.2010 05:45     C:\WINDOWS\Tasks\At6.job --------- 342 
 14.09.2010 05:00     C:\WINDOWS\Tasks\At54.job --------- 428 
 14.09.2010 05:00     C:\WINDOWS\Tasks\At30.job --------- 428 
 14.09.2010 04:45     C:\WINDOWS\Tasks\At5.job --------- 342 
 14.09.2010 04:00     C:\WINDOWS\Tasks\At29.job --------- 428 
 14.09.2010 04:00     C:\WINDOWS\Tasks\At53.job --------- 428 
 14.09.2010 03:45     C:\WINDOWS\Tasks\At4.job --------- 342 
 14.09.2010 03:00     C:\WINDOWS\Tasks\At28.job --------- 428 
 14.09.2010 03:00     C:\WINDOWS\Tasks\At52.job --------- 428 
 14.09.2010 02:45     C:\WINDOWS\Tasks\At3.job --------- 342 
 14.09.2010 02:00     C:\WINDOWS\Tasks\At51.job --------- 428 
 14.09.2010 02:00     C:\WINDOWS\Tasks\At27.job --------- 428 
 14.09.2010 01:45     C:\WINDOWS\Tasks\At2.job --------- 342 
 14.09.2010 01:00     C:\WINDOWS\Tasks\At50.job --------- 428 
 14.09.2010 01:00     C:\WINDOWS\Tasks\At26.job --------- 428 
 14.09.2010 00:45     C:\WINDOWS\Tasks\At1.job --------- 342 
 14.09.2010 00:33     C:\WINDOWS\Tasks\At25.job --------- 428 
 14.09.2010 00:31     C:\WINDOWS\Tasks\At49.job --------- 428 
 13.09.2010 23:45     C:\WINDOWS\Tasks\At24.job --------- 342
         

2.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\Yvyroc.exe 
C:\WINDOWS\Yvyrob.exe 
C:\WINDOWS\Yvyrod.exe 
C:\WINDOWS\Yvyroe.exe 
C:\WINDOWS\Yvyroa.exe 
         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code: Alles auswählenAufklappen

ATTFilter

Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-

...über 40 Virenscannern...also Geduld!!
         

3.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

4.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

5.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
hjtscanlist v2.0 - Dateiliste

Hallo,

an Punkt 2 bin ich leider schon gescheitert: Ich habe auf Virus Total die betreffenden Dateien "hochgeladen", danach erschien der Hinweis "Sending File", und dann wieder die Startoberfläche der Website.

AVG sprang sofort auf die erste Datei an, und verschob sie in Quarantäne. Da die Analyse auch nicht funktioniert hat, als ich den Virus aus der Quarantäne auf den Desktop geholt habe, habe ich die anderen Dateien auch erstmal in Quarantäne gesteckt.

Ich habe zum Test eine harmlose Datei an Virus Total gesendet, da funktioniert die Analyse perfekt.

Soll ich mit den nächsten Schritten weitermachen?

Vielen Dank schonmal und viele Grüße

Gehe in den abgesicherten Modus [F8]
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "Abgesicherter Modus mit Netzwerktreibern " wählen)
und versuche die Dateien von dort prüfen lassen

- kommst Du in den abgesicherten Modus wenn du beim Hochfahren des PC's [F8] drückst? Dort hast Du folgende Auswahlmöglichkeiten:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

wenn scheiterst daran, benenne die Dateien im "abgesicherten Modus" um in, dann so prüfen lassen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\Yvyroc.exe.VIR 
C:\WINDOWS\Yvyrob.exe.VIR 
C:\WINDOWS\Yvyrod.exe.VIR 
C:\WINDOWS\Yvyroe.exe.VIR 
C:\WINDOWS\Yvyroa.exe.VIR
         

Danke für den Tipp mit dem abgesicherten Modus - jetzt funktioniert es!
Folgende Ergebnisse für VirusTotal:

Code: Alles auswählenAufklappen

ATTFilter

File name: Yvyroa.exe
Submission date: 2010-09-16 17:29:38 (UTC)
Current status: queued queued (#2) analysing finished


Result: 33/ 43 (76.7%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.09.16.01 2010.09.16 Win-Trojan/Mdob.183808.L 
AntiVir 8.2.4.52 2010.09.16 TR/Zlob.brb 
Antiy-AVL 2.0.3.7 2010.09.16 Trojan/Win32.FraudPack.gen 
Authentium 5.2.0.5 2010.09.16 W32/Renos.A!Generic 
Avast 4.8.1351.0 2010.09.16 Win32:MalOb-BX 
Avast5 5.0.594.0 2010.09.16 Win32:MalOb-BX 
AVG 9.0.0.851 2010.09.16 Generic19.OBO 
BitDefender 7.2 2010.09.16 Gen:Variant.Kazy.424 
CAT-QuickHeal 11.00 2010.09.16 - 
ClamAV 0.96.2.0-git 2010.09.16 - 
Comodo 6099 2010.09.16 - 
DrWeb 5.0.2.03300 2010.09.16 Trojan.Packed.189 
Emsisoft 5.0.0.37 2010.09.16 Trojan.Win32.FakeAV!IK 
eSafe 7.0.17.0 2010.09.15 - 
eTrust-Vet 36.1.7859 2010.09.16 Win32/Renos.D!generic 
F-Prot 4.6.1.107 2010.09.16 W32/Renos.A!Generic 
F-Secure 9.0.15370.0 2010.09.16 Gen:Variant.Kazy.424 
Fortinet 4.1.143.0 2010.09.16 W32/CodecPack.fam!tr.dldr 
GData 21 2010.09.16 Gen:Variant.Kazy.424 
Ikarus T3.1.1.88.0 2010.09.16 Trojan.Win32.FakeAV 
Jiangmin 13.0.900 2010.09.16 - 
K7AntiVirus 9.63.2533 2010.09.16 Virus 
Kaspersky 7.0.0.125 2010.09.16 Trojan.Win32.FraudPack.bkbp 
McAfee 5.400.0.1158 2010.09.16 Downloader-CEW.b 
McAfee-GW-Edition 2010.1C 2010.09.16 Heuristic.BehavesLike.Win32.Suspicious.H 
Microsoft 1.6103 2010.09.16 TrojanDownloader:Win32/Renos.LX 
NOD32 5455 2010.09.16 a variant of Win32/Kryptik.GUA 
Norman 6.06.06 2010.09.16 - 
nProtect 2010-09-16.02 2010.09.16 Trojan/W32.FraudPack.183808.H 
Panda 10.0.2.7 2010.09.16 Suspicious file 
PCTools 7.0.3.5 2010.09.16 Trojan.FakeAV 
Prevx 3.0 2010.09.16 - 
Rising 22.65.03.04 2010.09.16 - 
Sophos 4.57.0 2010.09.16 Mal/FakeAV-CX 
Sunbelt 6877 2010.09.16 VirTool.Win32.Obfuscator.hg!b (v) 
SUPERAntiSpyware 4.40.0.1006 2010.09.16 Trojan.Agent/Gen-Frauder 
Symantec 20101.1.1.7 2010.09.16 Trojan.FakeAV!gen29 
TheHacker 6.7.0.0.020 2010.09.16 Trojan/FraudPack.bkbp 
TrendMicro 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
TrendMicro-HouseCall 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
VBA32 3.12.14.0 2010.09.16 Malware-Cryptor.Win32.Gron.2 
ViRobot 2010.8.25.4006 2010.09.16 - 
VirusBuster 12.65.10.0 2010.09.16 - 
Additional informationShow all  
MD5   : 90e6914ee257d200e8c965399f7beea9 
SHA1  : 93e119d48ac9af186cd2282dee7a4767d6c3aafd 
SHA256: 08f27f8f80422ecaed12a6c5a96d7b72b6f5931fdeaaa642eecd112531d2cd04 
ssdeep: 3072:2MJujZq1b8roV4YQI/oQVIzqDKiDetNXFvIITXtl0+pNSct:2MAwS0G8A/qDreAUXI+ 
File size : 183808 bytes 
First seen: 2010-09-16 17:29:38 
Last seen : 2010-09-16 17:29:38 
TrID: 
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
sigcheck: 
publisher....: Don HO don.h@free.fr
copyright....: Daniels
product......: Daniels
description..: Daniels
original name: Daniels.exe
internal name: Daniels
file version.: 1.2.7.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x5924
timedatestamp....: 0x4998FF1F (Mon Feb 16 05:52:31 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x67AA, 0x6800, 5.33, a4ba53010f17a72a1d5f2907b6b2e0c3
.rdata, 0x8000, 0x1895E, 0xA00, 3.34, 5a127c661ec7b835b02293347665da71
.data, 0x21000, 0x229F0, 0x22A00, 7.31, e64446eaa41104343c748a03bb2ed5d9
.adata, 0x44000, 0x34A, 0x400, 0.13, b79c38712c12178404db53694d50cf85
.rsrc, 0x45000, 0x2760, 0x2800, 3.53, f24c4daf4671384436a4691cb852c02b

[[ 3 import(s) ]]
user32.dll: IsIconic, GetKeyState, EnableScrollBar, SetWindowsHookExA, GetMenuItemID, GetScrollRange, FrameRect, MapWindowPoints, PeekMessageW, SetParent, GetClassNameA, CreateMenu, IsWindowEnabled, EnumThreadWindows, IsZoomed, EnableWindow, GetDesktopWindow, DestroyMenu, ScreenToClient, GetWindowRect, RegisterClipboardFormatA, UnhookWindowsHookEx, SetCapture, GetMenuItemCount, GetWindowTextA, GetWindowLongW, GetMenu, CharNextA
OLEAUT32.DLL: SafeArrayGetElement, GetErrorInfo, SysAllocStringLen, VariantCopyInd, RegisterTypeLib, OleLoadPicture, SysStringLen, SafeArrayCreate
kernel32.dll: SizeofResource, GetThreadLocale, VirtualAlloc, LoadLibraryA, GetStringTypeW, lstrlenW, GlobalAlloc, GetModuleFileNameA, GetFileAttributesA, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetCommandLineW, ExitThread, ExitProcess, LoadLibraryExA, VirtualQuery
         

Code: Alles auswählenAufklappen

ATTFilter

File name: Yvyrob.exe
Submission date: 2010-09-16 17:35:18 (UTC)
Current status: queued queued analysing finished


Result: 32/ 43 (74.4%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.09.16.01 2010.09.16 Win-Trojan/Mdob.183808.L 
AntiVir 8.2.4.52 2010.09.16 TR/Zlob.brb 
Antiy-AVL 2.0.3.7 2010.09.16 Trojan/Win32.FraudPack.gen 
Authentium 5.2.0.5 2010.09.16 W32/Renos.A!Generic 
Avast 4.8.1351.0 2010.09.16 Win32:MalOb-BX 
Avast5 5.0.594.0 2010.09.16 Win32:MalOb-BX 
AVG 9.0.0.851 2010.09.16 Generic19.OBO 
BitDefender 7.2 2010.09.16 Gen:Variant.Kazy.424 
CAT-QuickHeal 11.00 2010.09.16 - 
ClamAV 0.96.2.0-git 2010.09.16 - 
Comodo 6099 2010.09.16 - 
DrWeb 5.0.2.03300 2010.09.16 Trojan.Packed.189 
Emsisoft 5.0.0.37 2010.09.16 Trojan.Win32.FraudPack.bkbp!A2 
eSafe 7.0.17.0 2010.09.15 - 
eTrust-Vet 36.1.7859 2010.09.16 Win32/Renos.D!generic 
F-Prot 4.6.1.107 2010.09.16 W32/Renos.A!Generic 
F-Secure 9.0.15370.0 2010.09.16 Gen:Variant.Kazy.424 
Fortinet 4.1.143.0 2010.09.16 W32/CodecPack.fam!tr.dldr 
GData 21 2010.09.16 Gen:Variant.Kazy.424 
Ikarus T3.1.1.88.0 2010.09.16 - 
Jiangmin 13.0.900 2010.09.16 - 
K7AntiVirus 9.63.2533 2010.09.16 Virus 
Kaspersky 7.0.0.125 2010.09.16 Trojan.Win32.FraudPack.bkbp 
McAfee 5.400.0.1158 2010.09.16 Downloader-CEW.b 
McAfee-GW-Edition 2010.1C 2010.09.16 Heuristic.BehavesLike.Win32.Suspicious.H 
Microsoft 1.6103 2010.09.16 TrojanDownloader:Win32/Renos.LX 
NOD32 5455 2010.09.16 a variant of Win32/Kryptik.GUA 
Norman 6.06.06 2010.09.16 - 
nProtect 2010-09-16.02 2010.09.16 Trojan/W32.FraudPack.183808.H 
Panda 10.0.2.7 2010.09.16 Suspicious file 
PCTools 7.0.3.5 2010.09.16 Trojan.FakeAV 
Prevx 3.0 2010.09.16 - 
Rising 22.65.03.04 2010.09.16 - 
Sophos 4.57.0 2010.09.16 Mal/FakeAV-CX 
Sunbelt 6877 2010.09.16 VirTool.Win32.Obfuscator.hg!b (v) 
SUPERAntiSpyware 4.40.0.1006 2010.09.16 Trojan.Agent/Gen-Frauder 
Symantec 20101.1.1.7 2010.09.16 Trojan.FakeAV!gen29 
TheHacker 6.7.0.0.020 2010.09.16 Trojan/FraudPack.bkbp 
TrendMicro 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
TrendMicro-HouseCall 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
VBA32 3.12.14.0 2010.09.16 Malware-Cryptor.Win32.Gron.2 
ViRobot 2010.8.25.4006 2010.09.16 - 
VirusBuster 12.65.10.0 2010.09.16 - 
Additional informationShow all  
MD5   : e511f9b6d2d04cd3a6c522756242078b 
SHA1  : 239e4cfe6b23a731fa876ee9914ce0fa3544e420 
SHA256: f7732d6b15af6cadda3750dc744bcdb8f97260badf8ba8e8f99a7f9eaf5619d0 
ssdeep: 3072:2MJujZq9b8roV4YQI/oQVIzqDKiDetNXFvIITXtl0+pNSct:2MAwq0G8A/qDreAUXI+ 
File size : 183808 bytes 
First seen: 2010-09-16 17:35:18 
Last seen : 2010-09-16 17:35:18 
TrID: 
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
sigcheck: 
publisher....: Don HO don.h@free.fr
copyright....: Daniels
product......: Daniels
description..: Daniels
original name: Daniels.exe
internal name: Daniels
file version.: 1.2.7.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x5924
timedatestamp....: 0x4998FF1F (Mon Feb 16 05:52:31 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x67AA, 0x6800, 5.33, a4ba53010f17a72a1d5f2907b6b2e0c3
.rdata, 0x8000, 0x1895E, 0xA00, 3.34, 7fe9f96879d13049bd53c20dcfcce8a3
.data, 0x21000, 0x229F0, 0x22A00, 7.31, e64446eaa41104343c748a03bb2ed5d9
.adata, 0x44000, 0x34A, 0x400, 0.13, b79c38712c12178404db53694d50cf85
.rsrc, 0x45000, 0x2760, 0x2800, 3.53, f24c4daf4671384436a4691cb852c02b

[[ 3 import(s) ]]
user32.dll: IsIconic, GetKeyState, EnableScrollBar, SetWindowsHookExA, GetMenuItemID, GetScrollRange, FrameRect, MapWindowPoints, PeekMessageW, SetParent, GetClassNameA, CreateMenu, IsWindowEnabled, EnumThreadWindows, IsZoomed, EnableWindow, GetDesktopWindow, DestroyMenu, ScreenToClient, GetWindowRect, RegisterClipboardFormatA, UnhookWindowsHookEx, SetCapture, GetMenuItemCount, GetWindowTextA, GetWindowLongW, GetMenu, CharNextA
OLEAUT32.DLL: SafeArrayGetElement, GetErrorInfo, SysAllocStringLen, VariantCopyInd, RegisterTypeLib, OleLoadPicture, SysStringLen, SafeArrayCreate
kernel32.dll: SizeofResource, GetThreadLocale, VirtualAlloc, LoadLibraryA, GetStringTypeW, lstrlenW, GlobalAlloc, GetModuleFileNameA, GetFileAttributesA, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetCommandLineW, ExitThread, ExitProcess, LoadLibraryExA, VirtualQuery
         

Bei VirusC, VirusD, und VirusE sagt VirusTotal, er hätte ihn schon analysiert. Hier trotzdem die Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

File name: Yvyroc.exe
Submission date: 2010-09-16 17:38:24 (UTC)
Current status: queued (#6) queued (#6) analysing finished


Result: 33/ 43 (76.7%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.09.16.01 2010.09.16 Win-Trojan/Mdob.183808.L 
AntiVir 8.2.4.52 2010.09.16 TR/Zlob.brb 
Antiy-AVL 2.0.3.7 2010.09.16 Trojan/Win32.FraudPack.gen 
Authentium 5.2.0.5 2010.09.16 W32/Renos.A!Generic 
Avast 4.8.1351.0 2010.09.16 Win32:MalOb-BX 
Avast5 5.0.594.0 2010.09.16 Win32:MalOb-BX 
AVG 9.0.0.851 2010.09.16 Generic19.OBO 
BitDefender 7.2 2010.09.16 Gen:Variant.Kazy.424 
CAT-QuickHeal 11.00 2010.09.16 - 
ClamAV 0.96.2.0-git 2010.09.16 - 
Comodo 6099 2010.09.16 - 
DrWeb 5.0.2.03300 2010.09.16 Trojan.Packed.189 
Emsisoft 5.0.0.37 2010.09.16 Trojan.Win32.FraudPack.bkbp!A2 
eSafe 7.0.17.0 2010.09.15 - 
eTrust-Vet 36.1.7859 2010.09.16 Win32/Renos.D!generic 
F-Prot 4.6.1.107 2010.09.16 W32/Renos.A!Generic 
F-Secure 9.0.15370.0 2010.09.16 Gen:Variant.Kazy.424 
Fortinet 4.1.143.0 2010.09.16 W32/CodecPack.fam!tr.dldr 
GData 21 2010.09.16 Gen:Variant.Kazy.424 
Ikarus T3.1.1.88.0 2010.09.16 - 
Jiangmin 13.0.900 2010.09.16 - 
K7AntiVirus 9.63.2533 2010.09.16 Virus 
Kaspersky 7.0.0.125 2010.09.16 Trojan.Win32.FraudPack.bkbp 
McAfee 5.400.0.1158 2010.09.16 Downloader-CEW.b 
McAfee-GW-Edition 2010.1C 2010.09.16 Heuristic.BehavesLike.Win32.Suspicious.H 
Microsoft 1.6103 2010.09.16 TrojanDownloader:Win32/Renos.LX 
NOD32 5456 2010.09.16 a variant of Win32/Kryptik.GUA 
Norman 6.06.06 2010.09.16 - 
nProtect 2010-09-16.02 2010.09.16 Trojan/W32.FraudPack.183808.H 
Panda 10.0.2.7 2010.09.16 Suspicious file 
PCTools 7.0.3.5 2010.09.16 Trojan.FakeAV 
Prevx 3.0 2010.09.16 Medium Risk Malware 
Rising 22.65.03.04 2010.09.16 - 
Sophos 4.57.0 2010.09.16 Mal/FakeAV-CX 
Sunbelt 6877 2010.09.16 VirTool.Win32.Obfuscator.hg!b (v) 
SUPERAntiSpyware 4.40.0.1006 2010.09.16 Trojan.Agent/Gen-Frauder 
Symantec 20101.1.1.7 2010.09.16 Trojan.FakeAV!gen29 
TheHacker 6.7.0.0.020 2010.09.16 Trojan/FraudPack.bkbp 
TrendMicro 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
TrendMicro-HouseCall 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
VBA32 3.12.14.0 2010.09.16 Malware-Cryptor.Win32.Gron.2 
ViRobot 2010.8.25.4006 2010.09.16 - 
VirusBuster 12.65.10.0 2010.09.16 - 
Additional informationShow all  
MD5   : e511f9b6d2d04cd3a6c522756242078b 
SHA1  : 239e4cfe6b23a731fa876ee9914ce0fa3544e420 
SHA256: f7732d6b15af6cadda3750dc744bcdb8f97260badf8ba8e8f99a7f9eaf5619d0 
ssdeep: 3072:2MJujZq9b8roV4YQI/oQVIzqDKiDetNXFvIITXtl0+pNSct:2MAwq0G8A/qDreAUXI+ 
File size : 183808 bytes 
First seen: 2010-09-16 17:35:18 
Last seen : 2010-09-16 17:38:24 
TrID: 
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
sigcheck: 
publisher....: Don HO don.h@free.fr
copyright....: Daniels
product......: Daniels
description..: Daniels
original name: Daniels.exe
internal name: Daniels
file version.: 1.2.7.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x5924
timedatestamp....: 0x4998FF1F (Mon Feb 16 05:52:31 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x67AA, 0x6800, 5.33, a4ba53010f17a72a1d5f2907b6b2e0c3
.rdata, 0x8000, 0x1895E, 0xA00, 3.34, 7fe9f96879d13049bd53c20dcfcce8a3
.data, 0x21000, 0x229F0, 0x22A00, 7.31, e64446eaa41104343c748a03bb2ed5d9
.adata, 0x44000, 0x34A, 0x400, 0.13, b79c38712c12178404db53694d50cf85
.rsrc, 0x45000, 0x2760, 0x2800, 3.53, f24c4daf4671384436a4691cb852c02b

[[ 3 import(s) ]]
user32.dll: IsIconic, GetKeyState, EnableScrollBar, SetWindowsHookExA, GetMenuItemID, GetScrollRange, FrameRect, MapWindowPoints, PeekMessageW, SetParent, GetClassNameA, CreateMenu, IsWindowEnabled, EnumThreadWindows, IsZoomed, EnableWindow, GetDesktopWindow, DestroyMenu, ScreenToClient, GetWindowRect, RegisterClipboardFormatA, UnhookWindowsHookEx, SetCapture, GetMenuItemCount, GetWindowTextA, GetWindowLongW, GetMenu, CharNextA
OLEAUT32.DLL: SafeArrayGetElement, GetErrorInfo, SysAllocStringLen, VariantCopyInd, RegisterTypeLib, OleLoadPicture, SysStringLen, SafeArrayCreate
kernel32.dll: SizeofResource, GetThreadLocale, VirtualAlloc, LoadLibraryA, GetStringTypeW, lstrlenW, GlobalAlloc, GetModuleFileNameA, GetFileAttributesA, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetCommandLineW, ExitThread, ExitProcess, LoadLibraryExA, VirtualQuery
 
Prevx Info: 
hxxp://info.prevx.com/aboutprogramtext.asp?PX5=BA60F71E0082F799CE3C02F5A93AAD0071DB6FEB
         

Code: Alles auswählenAufklappen

ATTFilter

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: Yvyrod.exe
Submission date: 2010-09-16 17:40:41 (UTC)
Current status: queued queued analysing finished


Result: 32/ 43 (74.4%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.09.16.01 2010.09.16 Win-Trojan/Mdob.183808.L 
AntiVir 8.2.4.52 2010.09.16 TR/Zlob.brb 
Antiy-AVL 2.0.3.7 2010.09.16 Trojan/Win32.FraudPack.gen 
Authentium 5.2.0.5 2010.09.16 W32/Renos.A!Generic 
Avast 4.8.1351.0 2010.09.16 Win32:MalOb-BX 
Avast5 5.0.594.0 2010.09.16 Win32:MalOb-BX 
AVG 9.0.0.851 2010.09.16 Generic19.OBO 
BitDefender 7.2 2010.09.16 Gen:Variant.Kazy.424 
CAT-QuickHeal 11.00 2010.09.16 - 
ClamAV 0.96.2.0-git 2010.09.16 - 
Comodo 6099 2010.09.16 - 
DrWeb 5.0.2.03300 2010.09.16 Trojan.Packed.189 
Emsisoft 5.0.0.37 2010.09.16 Trojan.Win32.FraudPack.bkbp!A2 
eSafe 7.0.17.0 2010.09.15 - 
eTrust-Vet 36.1.7859 2010.09.16 Win32/Renos.D!generic 
F-Prot 4.6.1.107 2010.09.16 W32/Renos.A!Generic 
F-Secure 9.0.15370.0 2010.09.16 Gen:Variant.Kazy.424 
Fortinet 4.1.143.0 2010.09.16 W32/CodecPack.fam!tr.dldr 
GData 21 2010.09.16 Gen:Variant.Kazy.424 
Ikarus T3.1.1.88.0 2010.09.16 - 
Jiangmin 13.0.900 2010.09.16 - 
K7AntiVirus 9.63.2533 2010.09.16 Virus 
Kaspersky 7.0.0.125 2010.09.16 Trojan.Win32.FraudPack.bkbp 
McAfee 5.400.0.1158 2010.09.16 Downloader-CEW.b 
McAfee-GW-Edition 2010.1C 2010.09.16 Heuristic.BehavesLike.Win32.Suspicious.H 
Microsoft 1.6103 2010.09.16 TrojanDownloader:Win32/Renos.LX 
NOD32 5456 2010.09.16 a variant of Win32/Kryptik.GUA 
Norman 6.06.06 2010.09.16 - 
nProtect 2010-09-16.02 2010.09.16 Trojan/W32.FraudPack.183808.H 
Panda 10.0.2.7 2010.09.16 Suspicious file 
PCTools 7.0.3.5 2010.09.16 Trojan.FakeAV 
Prevx 3.0 2010.09.16 - 
Rising 22.65.03.04 2010.09.16 - 
Sophos 4.57.0 2010.09.16 Mal/FakeAV-CX 
Sunbelt 6877 2010.09.16 VirTool.Win32.Obfuscator.hg!b (v) 
SUPERAntiSpyware 4.40.0.1006 2010.09.16 Trojan.Agent/Gen-Frauder 
Symantec 20101.1.1.7 2010.09.16 Trojan.FakeAV!gen29 
TheHacker 6.7.0.0.020 2010.09.16 Trojan/FraudPack.bkbp 
TrendMicro 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
TrendMicro-HouseCall 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
VBA32 3.12.14.0 2010.09.16 Malware-Cryptor.Win32.Gron.2 
ViRobot 2010.8.25.4006 2010.09.16 - 
VirusBuster 12.65.10.0 2010.09.16 - 
Additional informationShow all  
MD5   : e511f9b6d2d04cd3a6c522756242078b 
SHA1  : 239e4cfe6b23a731fa876ee9914ce0fa3544e420 
SHA256: f7732d6b15af6cadda3750dc744bcdb8f97260badf8ba8e8f99a7f9eaf5619d0 
ssdeep: 3072:2MJujZq9b8roV4YQI/oQVIzqDKiDetNXFvIITXtl0+pNSct:2MAwq0G8A/qDreAUXI+ 
File size : 183808 bytes 
First seen: 2010-09-16 17:35:18 
Last seen : 2010-09-16 17:40:41 
TrID: 
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
sigcheck: 
publisher....: Don HO don.h@free.fr
copyright....: Daniels
product......: Daniels
description..: Daniels
original name: Daniels.exe
internal name: Daniels
file version.: 1.2.7.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x5924
timedatestamp....: 0x4998FF1F (Mon Feb 16 05:52:31 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x67AA, 0x6800, 5.33, a4ba53010f17a72a1d5f2907b6b2e0c3
.rdata, 0x8000, 0x1895E, 0xA00, 3.34, 7fe9f96879d13049bd53c20dcfcce8a3
.data, 0x21000, 0x229F0, 0x22A00, 7.31, e64446eaa41104343c748a03bb2ed5d9
.adata, 0x44000, 0x34A, 0x400, 0.13, b79c38712c12178404db53694d50cf85
.rsrc, 0x45000, 0x2760, 0x2800, 3.53, f24c4daf4671384436a4691cb852c02b

[[ 3 import(s) ]]
user32.dll: IsIconic, GetKeyState, EnableScrollBar, SetWindowsHookExA, GetMenuItemID, GetScrollRange, FrameRect, MapWindowPoints, PeekMessageW, SetParent, GetClassNameA, CreateMenu, IsWindowEnabled, EnumThreadWindows, IsZoomed, EnableWindow, GetDesktopWindow, DestroyMenu, ScreenToClient, GetWindowRect, RegisterClipboardFormatA, UnhookWindowsHookEx, SetCapture, GetMenuItemCount, GetWindowTextA, GetWindowLongW, GetMenu, CharNextA
OLEAUT32.DLL: SafeArrayGetElement, GetErrorInfo, SysAllocStringLen, VariantCopyInd, RegisterTypeLib, OleLoadPicture, SysStringLen, SafeArrayCreate
kernel32.dll: SizeofResource, GetThreadLocale, VirtualAlloc, LoadLibraryA, GetStringTypeW, lstrlenW, GlobalAlloc, GetModuleFileNameA, GetFileAttributesA, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetCommandLineW, ExitThread, ExitProcess, LoadLibraryExA, VirtualQuery
         

Code: Alles auswählenAufklappen

ATTFilter

File name: Yvyroe.exe
Submission date: 2010-09-16 17:45:41 (UTC)
Current status: queued (#1) queued analysing finished


Result: 32/ 43 (74.4%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.09.16.01 2010.09.16 Win-Trojan/Mdob.183808.L 
AntiVir 8.2.4.52 2010.09.16 TR/Zlob.brb 
Antiy-AVL 2.0.3.7 2010.09.16 Trojan/Win32.FraudPack.gen 
Authentium 5.2.0.5 2010.09.16 W32/Renos.A!Generic 
Avast 4.8.1351.0 2010.09.16 Win32:MalOb-BX 
Avast5 5.0.594.0 2010.09.16 Win32:MalOb-BX 
AVG 9.0.0.851 2010.09.16 Generic19.OBO 
BitDefender 7.2 2010.09.16 Gen:Variant.Kazy.424 
CAT-QuickHeal 11.00 2010.09.16 - 
ClamAV 0.96.2.0-git 2010.09.16 - 
Comodo 6099 2010.09.16 - 
DrWeb 5.0.2.03300 2010.09.16 Trojan.Packed.189 
Emsisoft 5.0.0.37 2010.09.16 Trojan.Win32.FraudPack.bkbp!A2 
eSafe 7.0.17.0 2010.09.15 - 
eTrust-Vet 36.1.7859 2010.09.16 Win32/Renos.D!generic 
F-Prot 4.6.1.107 2010.09.16 W32/Renos.A!Generic 
F-Secure 9.0.15370.0 2010.09.16 Gen:Variant.Kazy.424 
Fortinet 4.1.143.0 2010.09.16 W32/CodecPack.fam!tr.dldr 
GData 21 2010.09.16 Gen:Variant.Kazy.424 
Ikarus T3.1.1.88.0 2010.09.16 - 
Jiangmin 13.0.900 2010.09.16 - 
K7AntiVirus 9.63.2533 2010.09.16 Virus 
Kaspersky 7.0.0.125 2010.09.16 Trojan.Win32.FraudPack.bkbp 
McAfee 5.400.0.1158 2010.09.16 Downloader-CEW.b 
McAfee-GW-Edition 2010.1C 2010.09.16 Heuristic.BehavesLike.Win32.Suspicious.H 
Microsoft 1.6103 2010.09.16 TrojanDownloader:Win32/Renos.LX 
NOD32 5456 2010.09.16 a variant of Win32/Kryptik.GUA 
Norman 6.06.06 2010.09.16 - 
nProtect 2010-09-16.02 2010.09.16 Trojan/W32.FraudPack.183808.H 
Panda 10.0.2.7 2010.09.16 Suspicious file 
PCTools 7.0.3.5 2010.09.16 Trojan.FakeAV 
Prevx 3.0 2010.09.16 - 
Rising 22.65.03.04 2010.09.16 - 
Sophos 4.57.0 2010.09.16 Mal/FakeAV-CX 
Sunbelt 6877 2010.09.16 VirTool.Win32.Obfuscator.hg!b (v) 
SUPERAntiSpyware 4.40.0.1006 2010.09.16 Trojan.Agent/Gen-Frauder 
Symantec 20101.1.1.7 2010.09.16 Trojan.FakeAV!gen29 
TheHacker 6.7.0.0.020 2010.09.16 Trojan/FraudPack.bkbp 
TrendMicro 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
TrendMicro-HouseCall 9.120.0.1004 2010.09.16 TROJ_FAKEAV.SMA5 
VBA32 3.12.14.0 2010.09.16 Malware-Cryptor.Win32.Gron.2 
ViRobot 2010.8.25.4006 2010.09.16 - 
VirusBuster 12.65.10.0 2010.09.16 - 
Additional informationShow all  
MD5   : e511f9b6d2d04cd3a6c522756242078b 
SHA1  : 239e4cfe6b23a731fa876ee9914ce0fa3544e420 
SHA256: f7732d6b15af6cadda3750dc744bcdb8f97260badf8ba8e8f99a7f9eaf5619d0 
ssdeep: 3072:2MJujZq9b8roV4YQI/oQVIzqDKiDetNXFvIITXtl0+pNSct:2MAwq0G8A/qDreAUXI+ 
File size : 183808 bytes 
First seen: 2010-09-16 17:35:18 
Last seen : 2010-09-16 17:45:41 
TrID: 
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
sigcheck: 
publisher....: Don HO don.h@free.fr
copyright....: Daniels
product......: Daniels
description..: Daniels
original name: Daniels.exe
internal name: Daniels
file version.: 1.2.7.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x5924
timedatestamp....: 0x4998FF1F (Mon Feb 16 05:52:31 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x67AA, 0x6800, 5.33, a4ba53010f17a72a1d5f2907b6b2e0c3
.rdata, 0x8000, 0x1895E, 0xA00, 3.34, 7fe9f96879d13049bd53c20dcfcce8a3
.data, 0x21000, 0x229F0, 0x22A00, 7.31, e64446eaa41104343c748a03bb2ed5d9
.adata, 0x44000, 0x34A, 0x400, 0.13, b79c38712c12178404db53694d50cf85
.rsrc, 0x45000, 0x2760, 0x2800, 3.53, f24c4daf4671384436a4691cb852c02b

[[ 3 import(s) ]]
user32.dll: IsIconic, GetKeyState, EnableScrollBar, SetWindowsHookExA, GetMenuItemID, GetScrollRange, FrameRect, MapWindowPoints, PeekMessageW, SetParent, GetClassNameA, CreateMenu, IsWindowEnabled, EnumThreadWindows, IsZoomed, EnableWindow, GetDesktopWindow, DestroyMenu, ScreenToClient, GetWindowRect, RegisterClipboardFormatA, UnhookWindowsHookEx, SetCapture, GetMenuItemCount, GetWindowTextA, GetWindowLongW, GetMenu, CharNextA
OLEAUT32.DLL: SafeArrayGetElement, GetErrorInfo, SysAllocStringLen, VariantCopyInd, RegisterTypeLib, OleLoadPicture, SysStringLen, SafeArrayCreate
kernel32.dll: SizeofResource, GetThreadLocale, VirtualAlloc, LoadLibraryA, GetStringTypeW, lstrlenW, GlobalAlloc, GetModuleFileNameA, GetFileAttributesA, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetCommandLineW, ExitThread, ExitProcess, LoadLibraryExA, VirtualQuery
         

Und hier der Scan von Gmer. Hat problemlos funktioniert.
[code]
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-16 20:19:23
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\kggyifod.sys


---- System - GMER 1.0.15 ----

SSDT            SnopFree.sys                                                                ZwCreateProcessEx [0xF8A979E4]
SSDT            SnopFree.sys                                                                ZwTerminateProcess [0xF8A979F4]

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\SnopFree.sys                                    Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           C:\WINDOWS\system32\drivers\oreans32.sys                                    section is writeable [0xF8833280, 0x7B04, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\Explorer.EXE[1164] ntdll.dll!NtProtectVirtualMemory              7C91D6EE 5 Bytes  JMP 00B7000A 
.text           C:\WINDOWS\Explorer.EXE[1164] ntdll.dll!NtWriteVirtualMemory                7C91DFAE 5 Bytes  JMP 00BD000A 
.text           C:\WINDOWS\Explorer.EXE[1164] ntdll.dll!KiUserExceptionDispatcher           7C91E47C 5 Bytes  JMP 00B6000C 
.text           C:\WINDOWS\System32\svchost.exe[1212] ntdll.dll!NtProtectVirtualMemory      7C91D6EE 3 Bytes  JMP 0092000A 
.text           C:\WINDOWS\System32\svchost.exe[1212] ntdll.dll!NtProtectVirtualMemory + 4  7C91D6F2 1 Byte  [84]
.text           C:\WINDOWS\System32\svchost.exe[1212] ntdll.dll!NtWriteVirtualMemory        7C91DFAE 5 Bytes  JMP 0093000A 
.text           C:\WINDOWS\System32\svchost.exe[1212] ntdll.dll!KiUserExceptionDispatcher   7C91E47C 5 Bytes  JMP 0091000C 
.text           C:\WINDOWS\System32\svchost.exe[1212] USER32.dll!GetCursorPos               7E37974E 5 Bytes  JMP 0183000A 
.text           C:\WINDOWS\System32\svchost.exe[1212] ole32.dll!CoCreateInstance            774D057E 5 Bytes  JMP 00EB000A 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                 avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device           -> \Driver\atapi \Device\Harddisk0\DR0                                     82DEFEC5

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\atapi.sys                                       suspicious modification

---- EOF - GMER 1.0.15 ----
         

--- --- ---

RootRepeal-Datei ist angehängt. Bei Hidden und Stealth Objects hat er nichts gefunden. Ich hoffe, das ist ein gutes Zeichen?

So, uns hier noch die hjtscanlist im Anhang.

Und wie geht es jetzt weiter?

Vielen Dank!!
Und einen schönen Abend....

Tut mir Leid - sehe gerade, dass ich gestern schon wieder nicht dran gedacht habe, die Datei zu zippen. Hier jetzt also dia HJTscanlist

Viele Grüße - katholumbien

1.

Code: Alles auswählenAufklappen

ATTFilter

eMule
Kazaa
         

Zitat:

Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!

Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.
Lade ComboFix von einen dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

Zitat:

ACHTUNG!:

• Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!
• Falls es Probleme gibt,bitte nichts machen, sondern zuerst bei uns nachfragen!!

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit "Speichern unter" auf dem Desktop. Gib an "Alle Dateien" - Speichern:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

C:\WINDOWS\Yvyroc.exe
C:\WINDOWS\Yvyrob.exe
C:\WINDOWS\Yvyrod.exe
C:\WINDOWS\Yvyroe.exe
C:\WINDOWS\Yvyroa.exe
         

solltest Du dann auf dem Desktop diese Datei cfscript.txt finden

in bezug auf das obige bild, ziehe das CFScript in die combofix.exe hinein. wenn CF fertig ist, wird es eine Logdatei unter C:\ComboFix.txt erstellen, poste den inhalt.
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt - Warte, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint!
Bitte füge es hier als nächste Antwort ein.

4.
Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.

Hallo,

ich war gestern nicht daheim, deshalb geht es erst heute weiter.

eMule und Kazaa habe ich seit mindestens zwei Jahren nicht mehr genutzt, und ich dachte auch, sie seien nicht mehr installiert. Gibt es irgendwo noch Reste, die ich beseitigen kann/sollte?

Nun zur Aufgabe mit Combo Fix.
Bevor ich Combo Fix ausgeführt habe, habe ich bei der AVG Benutzeroberfläche auf "beenden" geklickt, rechtsklick auf die Leiste funktioniert nicht. Aber Combo Fix wies mich darauf hin, dass das Programm immernoch läuft. Ich scheine AVG nicht mehr beenden zu können. Deinstallieren funktioniert auch nicht, AVG meldet, dass das System nicht installiert sei. Und als ich versucht habe, den AVG Remover runterzuladen und auszuführen, hieß es "ist keine win32 ausführbare Datei", oder so ähnlich...

Wie krieg ich AVG wieder in Ordnung?
Soll ich ComboFix trotzdem laufen lassen?

Vielen Dank!
katholumbien

...noch eine Frage:

Wenn AVG meinen Computer vollständig scant, findet er mittlerweile diese 5 Übeltäter, die ich egtl mit combofix killen sollte. Reicht es, wenn ich die Trojaner mit AVG in Quarantäne stecke und dann entferne? Oder macht AVG das nicht anständig, und sie kommen zurück?

Ich bin für jedes bisschen Aufklärung dankbar!
Wie wunderbar, dass es so ein Forum gibt..!

Grüße,
katholumbien