Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virtumonde! Bitte um Hilfe. (https://www.trojaner-board.de/57911-virtumonde-bitte-um-hilfe.html)

wasch 15.08.2008 08:39
Virtumonde! Bitte um Hilfe.
 
Guten Morgen allerseits.
Hab auf meinem System Virtumonde drauf und denke noch ein paar Würmer. Ich weis, das es hier im Forum schon mehremals drüber geschrieben wurde. Aber ich denke, dass jeder Fall anders und individuell ist, deswegen möchte ich euch bitten meine Logs anzusehen.
Wenn ich mein Rechner starte kommt eine Meldung, dass die kqdpvfph.dll fehlt oder nicht gestartet werden konnte. Und da kommen noch ein paar Eingabeaufforderungsfenstar auf und gehen sofort zu. Wenn ich den Rechner runterfahre bekomme ich ein Bluescree mit der Meldung, dass Winlogon unerwaret beendet wurde oder so was in der Art. Der Spyboot findet zwei Eintäge mit Virtumonde (Log hänge ich unten an). Spysweeper meldet 4 Einträge (Virtumonde, Trojan.gen, Trojan agent, antivirus 2008; Log unten), wobei antivirus 2008 solle bereits vom Sysem weg sein. Denke es sind nur noch Registry-Einträge.

Ich würde gerne die Würmer entfernen ohne ganzes System neu aufzusetzen.

Bitte um Hilfe!!!

HiJack-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:55:32, on 15.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Programme\Antispy\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Lon\LonWorks\bin\LnsMtsSvc.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Antispy\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\Pmxmiced.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Antispy\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Virtumonde\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file-mstga3/WOTrackingViewer/WOViewer.aspx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [38f4f854] rundll32.exe "C:\WINDOWS\system32\mxvcbdxk.dll",b
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Antispy\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BM3bc7cbc8] Rundll32.exe "C:\WINDOWS\system32\kqdpvfph.dll",s
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.brooks.com
O15 - Trusted Zone: *.brooks.com (HKLM)
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - h**p://w*w.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} (Pixum EasyUploadX Control) - h**p://w*w.pixum.de/int/EasyUpload/ImgUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = brooks.com
O17 - HKLM\Software\..\Telephony: DomainName = brooks.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brooks.com
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Antispy\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Echelon xDriver Connection Broker (LdvxBroker) - Echelon Corporation - C:\Lon\LonWorks\bin\LdvxBroker.exe
O23 - Service: Echelon Support Service for Microsoft Terminal Services (MTS) (LnsMtsSvc) - Echelon Corporation - C:\Lon\LonWorks\bin\LnsMtsSvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Antispy\Spy Sweeper\SpySweeper.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 7961 bytes
SpyBoot-Log:
Code:
--- Search result list ---
Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! ()
 

Virtumonde: [SBI $42352499] Benutzereinstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_USERS\S-1-5-21-223235427-762778886-1232828436-13006\Software\Microsoft\rdfa

Virtumonde: [SBI $47E741CD] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws

Virtumonde: [SBI $1F8EC695] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

Virtumonde.dll: [SBI $8E1ED839]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\system32\wvUmJcbY.dll

Virtumonde.dll: [SBI $0EAADE49] Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3393C10D-A61B-455F-80C5-9BE393BF14EB}

Virtumonde.dll: [SBI $0EAADE49] Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3393C10D-A61B-455F-80C5-9BE393BF14EB}

Der kompleter Bericht liegt hier: SpybotSD.Results
SpySweeper-Screenshot:
http://www.bilder-hochladen.net/files/thumbs/7t6p-1.jpg
extern anschauen

undoreal 15.08.2008 21:38
Halli hallo wasch
:hallo:

Deinstalliere bitte zu erst Spybot, AVG-AntiSpy und Spysweeper!

Installiere dir ein AntiVir Prog deiner Wahl. Ich würde AntiVir-Free oder Avast-Free empfehlen.

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:
    XP_ dingens.org
    Vista_ TechNET
    .
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
    XP_ Firewall
    Vista_ Firewall
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Poste danach ein HJT log.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

wasch 18.08.2008 09:38
Hallo,
hab jetzt mal alles durchgeführt. Hier sind die aktulle Logs, bitte schaut euch diese mal an:

Combofix:
Code:
ComboFix 08-08-13.05 - *** 2008-08-18  9:11:41.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Programme\Antispy
C:\WINDOWS\system32\ctmamjxh.ini
C:\WINDOWS\system32\ompnrggi.ini
C:\WINDOWS\system32\uninstall.exe
C:\WINDOWS\system32\x64

----- BITS: Eventuell infizierte Webseiten -----

h**p://SMSBROOKS01:80
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((  Dateien erstellt von 2008-07-18 bis 2008-08-18  ))))))))))))))))))))))))))))))
.

2008-08-15 10:56 . 2008-08-15 10:56        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-08-15 10:56 . 2008-08-15 10:56        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-14 15:30 . 2008-08-14 15:30        164        --a------        C:\install.dat
2008-08-14 14:41 . 2008-08-14 14:41        <DIR>        d--------        C:\KEYENCE
2008-08-14 14:40 . 1996-11-05 16:19        247,648        --a------        C:\WINDOWS\UNINST16.EXE
2008-08-14 14:40 . 1995-07-13 18:43        26,768        --a------        C:\WINDOWS\system\CTL3D.DLL
2008-08-14 14:05 . 2008-08-14 14:05        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-08-14 11:05 . 2008-08-14 11:05        130,048        --a------        C:\WINDOWS\system32\lhtjkiyb.exe
2008-08-11 13:43 . 2008-08-18 07:13        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-08-11 11:44 . 2008-08-11 11:44        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2008-08-11 11:42 . 2008-08-11 11:42        54,156        --ah-----        C:\WINDOWS\QTFont.qfn
2008-08-11 11:42 . 2008-08-11 11:42        1,409        --a------        C:\WINDOWS\QTFont.for
2008-08-05 13:19 . 2008-08-05 13:19        <DIR>        d--------        C:\Programme\MSECache

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 05:13        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-15 10:32        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ride7
2008-08-14 11:34        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-14 09:24        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-08-14 09:20        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony
2008-08-14 09:14        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\National Instruments
2008-07-11 05:31        ---------        d-----w        C:\Programme\Winamp
2008-07-10 07:54        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\ZIP RAR ACE Password Recovery
2008-07-08 07:48        ---------        d-----w        C:\Programme\Paint.NET
2008-07-01 07:50        ---------        d-----w        C:\Programme\Hewlett-Packard
2008-06-25 12:02        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-06-24 05:03        ---------        d-----w        C:\Programme\Gemeinsame Dateien\EuroPlus Shared
2007-06-14 11:46        29,664        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-10 07:11        94,080        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezplay.sys
2007-05-10 07:11        87,608        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezpinst.exe
2007-05-10 07:11        47,360        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.sys
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 08:24 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 16:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-07-22 01:50 86016]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 17:07 843776]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 22:29 49152]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 07:20 122940]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 09:00 94208]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2005-12-07 04:55 131072]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe" [2003-10-07 10:48 147514]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 20:16 286720]
"PMX Daemon"="ICO.EXE" [2006-06-09 14:47 47104 C:\WINDOWS\system32\ico.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 16:00 15360]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 16:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2006-07-22 01:48 98304 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2006-07-22 01:47 81920 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 03:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Lantronix\\DeviceInstaller\\DeviceInstaller.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

R0 PSeries;PSeries;C:\WINDOWS\system32\drivers\pseries.sys [2008-05-05 13:53]
R2 ASFIPmon;Broadcom ASF IP Monitor;C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe [2006-03-17 19:25]
R2 CcmExec;SMS Agent Host;C:\WINDOWS\system32\CCM\CcmExec.exe [2006-02-09 03:50]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 10:42]
R2 LnsMtsSvc;Echelon Support Service for Microsoft Terminal Services (MTS);C:\Lon\LonWorks\bin\LnsMtsSvc.exe [2006-05-17 02:30]
R2 par1284;par1284;C:\WINDOWS\system32\drivers\par1284.sys [2003-05-08 11:44]
R2 PEPNT;PEPNT;C:\WINDOWS\system32\drivers\PEPNT.sys [1997-09-18 13:00]
R2 STM Parallel Driver;STM Parallel Driver;C:\WINDOWS\system32\drivers\parstm.sys [2003-07-09 16:31]
R3 pmxmouse;PMXMOUSE;C:\WINDOWS\system32\DRIVERS\pmxmouse.sys [2006-04-24 12:57]
R3 pmxusblf;PMXUSBLF;C:\WINDOWS\system32\DRIVERS\pmxusblf.sys [2006-04-24 12:59]
R3 pnplon;LonWorks PCLTA;C:\WINDOWS\system32\drivers\pnplon.sys [2006-05-17 02:30]
R3 prepdrvr;SMS Process Event Driver;C:\WINDOWS\system32\CCM\prepdrv.sys [2006-02-09 03:50]
S3 brfilt;Brother MFC-Filtertreiber;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 13:12]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber;C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 13:12]
S3 BrParWdm;Brother WDM-Treiber (parallel);C:\WINDOWS\system32\Drivers\BrParwdm.sys [2001-08-18 04:21]
S3 elUsbPCCard;elupcr.sys device driver;C:\WINDOWS\system32\DRIVERS\elupcr.sys [2006-03-07 13:46]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-06-06 09:43]
S3 LdvxBroker;Echelon xDriver Connection Broker;C:\Lon\LonWorks\bin\LdvxBroker.exe [2006-05-17 02:30]
S3 PcCGoCls;PcCGoCls;C:\WINDOWS\system32\Drivers\PcCGoCls.sys [2002-02-20 17:09]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 07:33]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-02-08 13:55]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\sea1mdfl.sys [2007-02-08 13:55]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\sea1mdm.sys [2007-02-08 13:55]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sea1mgmt.sys [2007-02-08 13:56]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);C:\WINDOWS\system32\DRIVERS\sea1nd5.sys [2007-02-08 13:56]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\sea1obex.sys [2007-02-08 13:56]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);C:\WINDOWS\system32\DRIVERS\sea1unic.sys [2007-02-08 13:56]
S3 SNXPCARD;PCI Multi I/O Card Driver;C:\WINDOWS\system32\DRIVERS\snxpcard.sys [2003-04-11 16:43]
S3 SNXPSERX;PCI Serial Port Driver;C:\WINDOWS\system32\DRIVERS\snxpserx.sys [2003-04-11 16:05]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners

2008-07-30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tbpyhzmd.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-08-18 09:31:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinVNC4]
"ImagePath"="\"C:\Programme\RealVNC\VNC4\WinVNC4.exe\" -log \"*:EventLog:0\" -log Connections:EventLog:100 -service "
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\system32\Crypserv.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\system32\CCM\clicomp\RemCtrl\Wuser32.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\pmxmiced.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-18  9:34:55 - PC wurde neu gestartet [***]
ComboFix-quarantined-files.txt  2008-08-18 07:34:30

Pre-Run: 22 Verzeichnis(se), 48,415,199,232 Bytes frei
Post-Run: 25 Verzeichnis(se), 48,343,953,408 Bytes frei

169

HiJack:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:56, on 2008-08-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Lon\LonWorks\bin\LnsMtsSvc.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\Pmxmiced.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
E:\Berichte\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file-mstga3/WOTrackingViewer/WOViewer.aspx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.brooks.com
O15 - Trusted Zone: *.brooks.com (HKLM)
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - h**p://w*w.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} (Pixum EasyUploadX Control) - h**p://w*w.pixum.de/int/EasyUpload/ImgUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = brooks.com
O17 - HKLM\Software\..\Telephony: DomainName = brooks.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brooks.com
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Echelon xDriver Connection Broker (LdvxBroker) - Echelon Corporation - C:\Lon\LonWorks\bin\LdvxBroker.exe
O23 - Service: Echelon Support Service for Microsoft Terminal Services (MTS) (LnsMtsSvc) - Echelon Corporation - C:\Lon\LonWorks\bin\LnsMtsSvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 7140 bytes
Danke

undoreal 18.08.2008 10:05

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Lon\LonWorks\bin\LnsMtsSvc.exe
C:\Lon\LonWorks\bin\LdvxBroker.exe
C:\install.dat
C:\WINDOWS\UNINST16.EXE
C:\WINDOWS\system32\lhtjkiyb.exe
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezpinst.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DATC:\Dokumente und Einstellungen\***\Anwendungsdaten\ezplay.sys
C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.sys
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

wasch 18.08.2008 20:12
C:\Lon\LonWorks\bin\LnsMtsSvc.exe
Code:
Datei LnsMtsSvc.exe empfangen 2008.08.18 13:00:29 (CET)
Status:    Beendet 
Ergebnis: 0/36 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.17        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 57400 bytes
MD5...: 00ae40f0ddfdd769934563902652d97a
SHA1..: fc158498180d6ec40d607239037e1ee904846ad0
SHA256: a14f5b7b9eaaee49c1d66431f7cac111f86549ba201a0fbaf3d590a7f2e7127a
SHA512: f761892979f8cf534b460dc701dcf746e975a5861a18c0182015af976d59f394
8820d39dde58dd10d3b9674288379b5c942b47bda878a0fc935ad03f8d457a13
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404678
timedatestamp.....: 0x446b7221 (Wed May 17 18:57:37 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x396a 0x4000 5.85 86a028a8fb2358afcd7611245f3235ad
.rdata 0x5000 0x2050 0x3000 4.40 951d1f09f927ef72c1cae305b3842feb
.data 0x8000 0x84c 0x1000 1.85 e110c18322ba0389851d01a8836e0f76
.rsrc 0x9000 0x4228 0x5000 3.02 0fae66ea913674a43acabdbc2628ca34

( 6 imports )
> KERNEL32.dll: FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, lstrcpynA, WideCharToMultiByte, InitializeCriticalSection, LoadLibraryA, lstrcpyA, lstrcatA, GetCurrentThread, GetShortPathNameA, MultiByteToWideChar, lstrlenW, GetVersion, LocalFree, ReadFile, GetCurrentProcess, OpenProcess, CreateJobObjectA, DuplicateHandle, CreateFileMappingA, CreateWaitableTimerA, CreateSemaphoreA, CreateMutexA, WriteFile, FlushFileBuffers, DisconnectNamedPipe, SetLastError, CreateNamedPipeA, ConnectNamedPipe, CloseHandle, InterlockedDecrement, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, lstrlenA, GetCommandLineA, lstrcmpiA, GetLastError, GetCurrentThreadId, CreateEventA, CreateThread, SetEvent, WaitForSingleObject, TerminateThread, IsDBCSLeadByte, GetStartupInfoA
> USER32.dll: LoadStringA, MessageBoxA, GetMessageA, DispatchMessageA, PostThreadMessageA, CharNextA
> ADVAPI32.dll: ControlService, RegQueryInfoKeyA, RegEnumKeyExA, RegCreateKeyExA, RegDeleteKeyA, RegOpenKeyExA, OpenProcessToken, LookupPrivilegeValueA, PrivilegeCheck, ConvertStringSecurityDescriptorToSecurityDescriptorA, MakeAbsoluteSD, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, StartServiceCtrlDispatcherA, DeleteService, CreateServiceA, RegDeleteValueA, RegSetValueExA, RegCloseKey, RegQueryValueExA, SetServiceStatus, RegisterServiceCtrlHandlerA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenSCManagerA, OpenServiceA, CloseServiceHandle, CopySid, GetLengthSid, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, OpenThreadToken, GetTokenInformation, RegEnumValueA
> ole32.dll: CoInitialize, CoInitializeSecurity, CoUninitialize, CoTaskMemFree, CoTaskMemRealloc, CoRegisterClassObject, CoRevokeClassObject, CoCreateInstance, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -
> MSVCRT.dll: _onexit, __dllonexit, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _terminate@@YAXXZ, _except_handler3, memcmp, __2@YAPAXI@Z, realloc, malloc, free, puts, vsprintf, __CxxFrameHandler, memcpy, memset, _strnicmp, strlen, strrchr, strncmp

( 0 exports )
C:\Lon\LonWorks\bin\LdvxBroker.exe
Code:
Datei LdvxBroker.exe empfangen 2008.08.18 13:04:38 (CET)
Status:    Beendet 
Ergebnis: 0/36 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.17        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 61498 bytes
MD5...: c57bd3ab5d64fd45a159a1f83bd7df43
SHA1..: 66a65f010b2af36c5b79c5aa9a260fa023e074cb
SHA256: befe85ffa88717ec3596dffb84928e7ccb85ff1ca3158f508f0b14c563536d97
SHA512: eb13d095d157960c4c33aaaf51a882bca42f962c8ee3b2775ce9180682139385
b96d6aa171b57e9f87467c5d254e5529f0e5449c49d614635545b4c7886ac3a2
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40537e
timedatestamp.....: 0x446b7366 (Wed May 17 19:03:02 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47c7 0x5000 5.98 50bb8a3f2de505ea6c8d33286d905708
.rdata 0x6000 0x2b02 0x3000 5.30 f1d2b46d3cb6a0bf13f71ea8f9b0a48f
.data 0x9000 0xe5c 0x1000 3.90 b36dab220161a2507eec5d8baa532a0e
.rsrc 0xa000 0x4480 0x5000 3.17 c7912581c5c86fe1825f4e8d7b05c015

( 9 imports )
> LnsMtsShim.dll: CreateMutexA
> LdvxManager.dll: __0xManager@@QAE@_N@Z, __1xManager@@QAE@XZ
> LdvxLog.dll: _Open@xLog@@QAEXPBD@Z, _CreateSubKey@xRegistry@@QAEJPBDPAK@Z, _SetField@xRegistry@@QBEJPBDHK@Z, _DeleteField@xRegistry@@QBEJPBD@Z, _SetField@xRegistry@@QBEJPBD0@Z, _TraceEventV@xLog@@QBEXGJPAD@Z, _LogEventV@xLog@@QBEXGJPAD@Z, _GetDefaultLog@xLog@@SAPAV1@XZ, __1xRegistry@@QAE@XZ, _GetField@xRegistry@@QBEJPBDAA_N@Z, __0xRegistry@@QAE@PAUHKEY__@@PBD@Z, _LdvxTrace2@xLog@@QBAXGW4LdvxType@@PBDZZ, _c_sLonWorksPath@@3V_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@_STL@@@_STL@@B, _GetField@xRegistry@@QBEJPBDAAH@Z, _c_szxDriverKey@@3QBDB, _OpenSubKey@xRegistry@@QAEJPBDPAUHKEY__@@@Z, _SetTraceLevel@xLog@@QAEXE@Z, _SetTraceTypes@xLog@@QAEXW4LdvxTraceTypes@@@Z, _SetTraceCategories@xLog@@QAEXW4LdvxTraceCategories@@@Z, _SetTraceOptions@xLog@@QAEXW4LdvxTraceOptions@@@Z, _Close@xLog@@QAEXXZ, _FieldExists@xRegistry@@QBE_NPBD@Z, __BxRegistry@@QBEPAUHKEY__@@XZ
> USER32.dll: SendMessageA, ShowWindow, GetMessageA, IsWindow, IsDialogMessageA, DispatchMessageA, DestroyWindow, PostThreadMessageA, CharNextA, MessageBoxA, CreateDialogParamA, SetDlgItemTextA, GetWindowRect, UpdateWindow, LoadIconA, LoadStringA, GetDlgItem, EnableWindow, MoveWindow, SetWindowLongA
> ole32.dll: CoUninitialize, CoInitializeSecurity, CoInitializeEx, CoInitialize, CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, CoRegisterClassObject, CoRevokeClassObject, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -
> KERNEL32.dll: WideCharToMultiByte, FlushInstructionCache, GetCurrentThread, EnterCriticalSection, LeaveCriticalSection, lstrcatA, lstrcpyA, LoadLibraryA, DeleteCriticalSection, HeapDestroy, InitializeCriticalSection, IsDBCSLeadByte, lstrcpynA, LoadLibraryExA, FindResourceA, LoadResource, SizeofResource, FreeLibrary, GetStartupInfoA, GetShortPathNameA, lstrlenW, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, lstrlenA, MultiByteToWideChar, lstrcmpiA, GetCommandLineA, GetCurrentProcessId, OpenProcess, GetLastError, CloseHandle, GetCurrentThreadId, GetCurrentProcess, SetProcessWorkingSetSize, InterlockedDecrement
> ADVAPI32.dll: RegOpenKeyExA, GetTokenInformation, OpenThreadToken, OpenProcessToken, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, GetLengthSid, CopySid, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegEnumValueA, RegQueryInfoKeyA, RegSetValueExA, RegEnumKeyExA, CloseServiceHandle, RegCloseKey, RegDeleteValueA, RegCreateKeyExA, RegDeleteKeyA, StartServiceCtrlDispatcherA, ControlService, DeleteService, CreateServiceA, GetUserNameA, SetSecurityInfo, SetServiceStatus, RegisterServiceCtrlHandlerA, OpenSCManagerA, OpenServiceA
> MSVCRT.dll: memmove, _onexit, __dllonexit, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __1type_info@@UAE@XZ, _terminate@@YAXXZ, _except_handler3, _itoa, strlen, __1exception@@UAE@XZ, __0exception@@QAE@XZ, strncpy, __0exception@@QAE@ABV0@@Z, _CxxThrowException, memcmp, memset, realloc, malloc, free, memcpy, __CxxFrameHandler, __2@YAPAXI@Z, _ultoa

( 0 exports )
C:\install.dat
Code:
Datei install.dat empfangen 2008.08.18 13:06:24 (CET)
Status:    Beendet 
Ergebnis: 0/36 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.17        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 164 bytes
MD5...: 221459272704441f4bebf6f4fb8c83bc
SHA1..: dcbb8382b541978935b3e5cbd85ce344ba0f5cd1
SHA256: 74ca6f8e4574c7eb657736350963307edda2236d8b8b42644a2e0901efa44fc8
SHA512: 0d6559ddf464f90f0d4d0b1023e9a1c1b6fd231bb3fd675bd4e2a9b881a7edf7
2c0203833eecef436bac3e9a7d2006eaeb19e6fe12260dfbb5a6671f836247b4
PEiD..: -
PEInfo: -
C:\WINDOWS\UNINST16.EXE
Code:
Datei UNINST16.EXE empfangen 2008.08.18 13:15:09 (CET)
Status:    Beendet 
Ergebnis: 0/36 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.17        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 247648 bytes
MD5...: e54fc2077196ba40d53742d2446c6a03
SHA1..: a7608956cd9d0713f8a33618656582cbd2e8ea85
SHA256: 250f18a7113e5eb745721cdb0de7196756b019b64674b830af6bdc368dc55f89
SHA512: ac156d55e7366f34a83625842b8a88bf8cbb1c3f1b05dd2d69b02bbb7f251555
4f4983111aa3bdc0d2bcece61cd1d190e677eeb061645e3c1c093377fd0ed0ab
PEiD..: -
PEInfo: -
C:\WINDOWS\system32\lhtjkiyb.exe
Code:
Datei lhtjkiyb.exe empfangen 2008.08.18 13:19:32 (CET)
Status:    Beendet 
Ergebnis: 9/36 (25%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        MemScan:Trojan.FakeAlert.UM
CAT-QuickHeal        9.50        2008.08.16        (Suspicious) - DNAScan
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        Suspicious File
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        Trojan-Downloader.Win32.Renos.AQ
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        TrojanDownloader:Win32/Renos.gen!AS
NOD32v2        3364        2008.08.18        a variant of Win32/TrojanDownloader.FakeAlert.GG
Norman        5.80.02        2008.08.15        Smalltroj.gen22
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.18        Malicious Software
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        Mal/EncPk-CZ
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.17        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 130048 bytes
MD5...: 588cbbcbd6852f8ab9be55a23f7a82e4
SHA1..: a2a8271f08bea75975ac2e91524ede31af3db705
SHA256: 3780edce32ace015f7e7792d1548a515ad4d5af31cea22fb707beef461ca8c81
SHA512: a00b7d00d74bb61a5b24c7e511936a7fb0c99484b3d2f239af5ff9c21006cb64
94616acd217bb23fa384497536353472e3ee90d78892994dc148ca12c9a60651
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403521
timedatestamp.....: 0x48a1df24 (Tue Aug 12 19:06:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x338a0 0x2600 6.43 6a159282c9d445e6b3ebfb802b668218
.rdata 0x35000 0x1b7ac 0x1ac00 8.00 548d2168bf8b64f3a5976672c136329a
.rsrc 0x51000 0x1000 0x600 7.30 f4fec41480babaab2533552314c5d691

( 0 imports )

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DBF8033000DBC430FC8901D54930FE00F0FEA9AE

wasch 18.08.2008 20:32
C:\WINDOWS\QTFont.qfn
Code:
Datei QTFont.qfn empfangen 2008.08.18 13:27:04 (CET)
Status:    Beendet 
Ergebnis: 0/35 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.17        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 54156 bytes
MD5...: dba91cd5a3a68302967c03213e52bde8
SHA1..: 8188a5832590c810b08ee3a2f1567afcdd094108
SHA256: 1a355634a47a01ce03e05328c2835a86926818bacdcb663db2136d691319dd18
SHA512: c1afd1304fca65d1bd39a43fad5dc7a6c8528c225a019012163dde2948b82455
c2616e27db2c03c03ac85e5c7dff77286688aea75b2355e5dce3c71c78526f94
PEiD..: -
PEInfo: -

C:\WINDOWS\QTFont.for
Code:
Datei QTFont.for empfangen 2008.08.18 13:39:12 (CET)
Status:    Beendet 
Ergebnis: 0/36 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.18        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 1409 bytes
MD5...: e1034d757709f37f2d1ebd96d5ead02b
SHA1..: fd71bd173744917d950ab434fd97e0e3f92d824f
SHA256: a6322c6f5bd745287666c045c3bff2861461a1752c50a2869f343d46f97fda82
SHA512: aa9554d159a876b3f5a57e661a4164b5a9e450b7de441e5df75bc0d64aa59c90
e40d57985ff12e2766ad42eadadca8c06b9bb209cb64b99b051edae571cbcd8e
PEiD..: -
PEInfo: -
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezpinst.exe
Code:
Datei ezpinst.exe empfangen 2008.08.18 14:18:07 (CET)
Status:    Beendet 
Ergebnis: 0/35 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.18        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 87608 bytes
MD5...: 254fbca565e049648b0cce2ceadf05d2
SHA1..: f5c6d09fcd7df2f8efd51c2bcf7ef0702686071c
SHA256: c74d2fa6374b5f1e251e3205de0efe99ed026b8b7a0ad5ee549ee3700f8e63d7
SHA512: 9f587078ac71165f4b862f59ffa9279c92d3c84c19080b9f71d3c3a54964a5e0
a8a55d160f7fee7d505ccb41afea9f8720a475de2de50219037a435ccbc55709
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402277
timedatestamp.....: 0x44a114a2 (Tue Jun 27 11:21:06 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc1d4 0xd000 6.39 8b23740868f02bb731a1556e3e89ec4b
.rdata 0xe000 0x25c2 0x3000 4.48 1c4aa9b67a1e4fb62d587545d74e9148
.data 0x11000 0x2e48 0x2000 1.28 e79d5ce42e7132af5b6039889e4670ab
.rsrc 0x14000 0xb0 0x1000 3.06 cec9b95146f57b35474dc9da6c445146

( 6 imports )
> newdev.dll: UpdateDriverForPlugAndPlayDevicesW
> SETUPAPI.dll: SetupDiRemoveDevice, SetupDiCallClassInstaller, SetupDiSetDeviceRegistryPropertyW, SetupDiCreateDeviceInfoW, SetupDiCreateDeviceInfoList, SetupDiGetDeviceRegistryPropertyW, SetupDiOpenDeviceInfoW
> KERNEL32.dll: HeapSize, ReadFile, SetEndOfFile, WriteConsoleW, CreateFileA, FormatMessageW, GetLastError, CloseHandle, GetCurrentProcess, GetPrivateProfileStringW, MultiByteToWideChar, LocalFree, GetModuleFileNameA, GetConsoleOutputCP, WriteConsoleA, LoadLibraryA, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, GetProcAddress, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, ExitProcess, WriteFile, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, Sleep, CreateFileW, InitializeCriticalSection, SetFilePointer, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA
> ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken
> SHELL32.dll: SHGetFolderPathW
> ole32.dll: CLSIDFromString

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=254fbca565e049648b0cce2ceadf05d2
C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.
Code:
Datei GDIPFONTCACHEV1.DAT empfangen 2008.08.18 15:26:18 (CET)
Status:    Beendet 
Ergebnis: 0/35 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.18        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.18        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3364        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.18        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 29664 bytes
MD5...: 73d946d3da69fb44a9e50e9fed36693c
SHA1..: e9196541e9a1920fd94b1f78652515d87ca6c0c0
SHA256: 3dc44548852e339f0981861ec09db0c2ead60f914528d06de04e483493ab285f
SHA512: 1863e036441bc4380e7335a5fac8d7fbaaeac0e95795fa51045972b682f351d3
64aa8a5cf1eb28d53a258e3d46817959a72357c646ce5b61a08601485e727a8d
PEiD..: -
PEInfo: -
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezplay.sys
Code:
Datei ezplay.sys empfangen 2008.08.18 15:56:35 (CET)
Status:    Beendet 
Ergebnis: 0/36 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.18        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.18        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3365        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.18        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.18        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 94080 bytes
MD5...: 96dad6e55739d96a6b24d26fa077dad8
SHA1..: b403cb2af4da102cbc0675be50b40952209b485d
SHA256: bc4373105b49649b0852dda0e15e3fc4694e2f34b1489e6028ec0a269bd0aa26
SHA512: 6ee8805a3b4c2aa17f4321afb99fa810a6e6662e03969c9b89135dc68eca8557
f1513acd49892b4bc8a5854fb395fd454a22d467f4926164267e3494fbf2dcbe
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x25f85
timedatestamp.....: 0x44c7a3e5 (Wed Jul 26 17:18:29 2006)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x6eb2 0x6f00 6.72 eca58d3930729c2a2e8c3d34a18e1e0f
.rdata 0x7380 0x9d68 0x9d80 7.88 4eabd12fdfb6d3aa3ca0218f9017c306
.data 0x11100 0x2ca0 0x2d00 4.77 5b8c0ba3eda9f8666e9a3ada006e8fd8
PAGE 0x13e00 0x211c 0x2180 6.47 7bd3001557d696a80b99e75446981f64
INIT 0x15f80 0x5e2 0x600 5.22 599be9c200a76cf42e569b0e79db980d
.rsrc 0x16580 0x3a0 0x400 2.97 a9eb8fcf905bca53a22c44dbf84c86d8
.reloc 0x16980 0x582 0x600 5.09 31d9dce5ab63244d236a67934affe8b2

( 2 imports )
> NTOSKRNL.EXE: PoSetPowerState, ZwClose, ZwSetValueKey, RtlInitUnicodeString, IoOpenDeviceRegistryKey, IoRegisterDeviceInterface, IoDeleteDevice, IoDetachDevice, IoAttachDeviceToDeviceStack, IoInitializeRemoveLockEx, IoCreateDevice, IofCompleteRequest, KeSetEvent, IoSetDeviceInterfaceState, IofCallDriver, KeTickCount, RtlCopyUnicodeString, KeWaitForSingleObject, KeInitializeEvent, RtlFreeUnicodeString, ObfDereferenceObject, RtlCompareUnicodeString, wcslen, IoBuildSynchronousFsdRequest, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, IoRegisterPlugPlayNotification, IoReleaseRemoveLockEx, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, IoAcquireRemoveLockEx, IoReleaseRemoveLockAndWaitEx, PoCallDriver, PoStartNextPowerIrp, PoRequestPowerIrp, InterlockedIncrement, InterlockedDecrement, IoStopTimer, RtlCompareMemory, ExFreePool, IoUnregisterPlugPlayNotification, KeDelayExecutionThread, MmMapLockedPagesSpecifyCache, IoStartTimer, IoInitializeTimer, KeBugCheckEx, ExAllocatePoolWithTag, RtlUnwind
> HAL.DLL: KeStallExecutionProcessor, KeQueryPerformanceCounter

( 0 exports )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.sys
Code:
Datei pcouffin.sys empfangen 2008.08.18 16:03:28 (CET)
Status:    Beendet 
Ergebnis: 0/36 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.18        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.18        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.417        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3365        2008.08.18        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.18        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.18        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 47360 bytes
MD5...: 5b6c11de7e839c05248ced8825470fef
SHA1..: 758bb61031fa1ecf5879f533d8a36da290cf8594
SHA256: db57dfd02c18461b1b383df759730ffee9c7fa8577e1679fd4740a590303ee79
SHA512: e328a96babf557dc7cdbe3dfb536e15f120c44ebdce773d1870feb948e7bd4fb
e5711ba0fcac71d5313b0eadcc3b59df92e6a22ba8c10a6a68d62defe0c2a0ff
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1a317
timedatestamp.....: 0x457584b9 (Tue Dec 05 14:39:53 2006)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x500 0x7f7d 0x7f80 6.39 7895a1662f97aca3c79eaae1f9786c2d
.rdata 0x8480 0x5e8 0x600 4.70 08a07dc52d855279c96b30a258536bc8
.data 0x8a80 0x849 0x880 0.46 cf14ff353ef58823b9cf10600f5102a2
.CRT 0x9300 0xc 0x80 0.20 1723c987548a2a0b4a9ff406a7d201c4
.STL 0x9380 0x10 0x80 0.00 f09f35a5637839458e462e6350ecbce4
PAGE 0x9400 0xbb7 0xc00 6.03 9044c521086fa34d40d828b90a54643e
INIT 0xa000 0xb46 0xb80 5.85 7cebab36c24f35ca6ab7df35f6c004d5
.rsrc 0xab80 0x418 0x480 3.05 0cb805e7cacb0c9cfbdc15648673649d
.reloc 0xb000 0x8bc 0x900 5.50 3dd52ae9cba93d5e001af1b9d00b8a03

( 2 imports )
> NTOSKRNL.EXE: KeInitializeSpinLock, RtlInitUnicodeString, KefAcquireSpinLockAtDpcLevel, PoSetPowerState, KefReleaseSpinLockFromDpcLevel, PoStartNextPowerIrp, IoAllocateMdl, IoFreeMdl, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, MmUnlockPages, ZwClose, IoInitializeTimer, IoStartTimer, IoStopTimer, IoFreeWorkItem, IofCompleteRequest, PoCallDriver, IofCallDriver, InterlockedIncrement, ExFreePool, IoUnregisterPlugPlayNotification, KeWaitForSingleObject, IoBuildSynchronousFsdRequest, KeInitializeEvent, KeSetEvent, IoBuildDeviceIoControlRequest, ObfDereferenceObject, InterlockedDecrement, IoFreeIrp, wcscpy, IoGetDeviceObjectPointer, KeTickCount, MmBuildMdlForNonPagedPool, IoAllocateIrp, ObReferenceObjectByHandle, ExEventObjectType, RtlCompareUnicodeString, KeQueryTimeIncrement, IoReuseIrp, sprintf, IoRegisterPlugPlayNotification, IoQueueWorkItem, IoAllocateWorkItem, RtlCopyUnicodeString, wcslen, KeBugCheckEx, ExAllocatePoolWithTag, RtlUnwind, RtlAppendUnicodeStringToString, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoCreateDevice, RtlIntegerToUnicodeString, memmove, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, InterlockedExchange, KeClearEvent, KeReleaseMutex, IoDetachDevice, IoCancelIrp, RtlFreeUnicodeString, PoRequestPowerIrp, IoRegisterDeviceInterface, IoSetDeviceInterfaceState, KeInitializeMutex, KeRemoveEntryDeviceQueue
> HAL.DLL: KeQueryPerformanceCounter, KeGetCurrentIrql, KfReleaseSpinLock, KfAcquireSpinLock

( 0 exports )

undoreal 18.08.2008 22:44
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS\system32\lhtjkiyb.exe
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Mache danach noch scans mit Anti-Malware und SuperAntiSpyware und poste die logs.

wasch 19.08.2008 13:07
Anti-Malware-Log:

Code:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 2

13:09:53 19.08.2008
mbam-log-08-19-2008 (13-09-53).txt

Scan-Methode: Vollständiger Scan (C:\|K:\|)
Durchsuchte Objekte: 244922
Laufzeit: 5 hour(s), 21 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
SuperAntiSpyware:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/19/2008 at 02:01 PM

Application Version : 4.15.1000

Core Rules Database Version : 3540
Trace Rules Database Version: 1529

Scan type      : Complete Scan
Total Scan Time : 00:49:39

Memory items scanned      : 533
Memory threats detected  : 0
Registry items scanned    : 6041
Registry threats detected : 0
File items scanned        : 79697
File threats detected    : 21

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@ads.quartermedia[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@adserver.easyad[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@www.zanox-affiliate[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@ads.heias[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@www.etracker[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@1071723130[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@myhammer.122.2o7[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@conrad[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@1070887288[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@adopt.euroclick[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@conrad-ch2[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@1066186035[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@indextools[2].txt

Trojan.Unclassified/Dropper
        C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AUTORADIOS\EC 4200 RDS CARBASE\ARCHIV\CARRADIODECODINGSET\EPROMDUMPS\CARRADIODECODE\RADIA\MOTOROLA\MOTO411.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AUTORADIOS\EC 4200 RDS CARBASE\ARCHIV\CARRADIODECODINGSET\EPROMDUMPS\CARRADIODECODE\PROGRAMY\MOTOROLA\MOTO411.EXE

Trojan.Unclassified/Loader-Suspicious
        C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AXEL\4355\FULL_UPD\LOADER.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AXEL\4355\RESTORE\LOADER.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\PRIVAT\AXEL\4355\UPDATE\LOADER.EXE

undoreal 19.08.2008 13:56
Das sieht ja schonmal ganz gut aus.

Poste bitte noch das Avenger log!

wasch 19.08.2008 14:17
Und hier ist Avenger-Log:

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\lhtjkiyb.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

undoreal 19.08.2008 15:14
Gut, was für eine AntiViren Lösung nutzt du eigentlich?

wasch 20.08.2008 06:19
Ich nutze McAfee VirusScan Enterprise 8.0.0

undoreal 20.08.2008 08:20
Dann mache damit am besten noch einen Vollscan.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131