Trojaner-Board - Angst vor Trojaner/Keylogger

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Angst vor Trojaner/Keylogger (https://www.trojaner-board.de/63005-angst-trojaner-keylogger.html)

Angst vor Trojaner/Keylogger

Hallo,

es gab Unregelmäßigkeiten beim Zugriff auf mein Neteller Konto. Es besteht der Verdacht, dass sich jemand unautorisiert in meinen Emailaccount eingeloggt hat. Ich benutze ein kryptisches Passwort und kann mir nicht erklären wie jemand an die Zugangsdaten gekommen sein könnte. Versuche gerade herauszufinden, ob ich vielleicht einen Trojaner/Keylogger o.ä. auf dem Rechner habe.
Ich benutze Windows XP SP3, dazu ZoneAlarm Firewall, Antivir und räume regelmäßig mit CCleaner auf.
Scan im abgesicherten Modus mit aktualisiertem Antivir, Spybot und Adaware brachten keine verdächtigen Ergebnisse. Auch Superantispyware und Malwarebytes Anti-Malware haben nichts gefunden.
Ich wollte euch bitten, ob sich vielleicht jemand mein aktuelles HJT logfile ansehen kann. "C:\WINDOWS\System32\shdocvw.dll" hab ich bei virustotal hochgeladen, scheint sauber zu sein.

Vielen Dank im Voraus für eure Mühe!

unterpalmen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:31:10, on 27.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Juniper Networks\Common Files\dsNcService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2773227517-2136417557-3852222622-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - https://ssl.cms.hu-berlin.de/dana-cached/setup/JuniperSetupSP1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programme\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 7001 bytes

Halli hallo.

Warum ist der Verdacht aufgekommen?

Poste bitte die VT Auswertung der .dll Datei.

Deinstalliere ZoneAlarm und AdAware und räume danach mit dem cCleaner auf. (Punkte 1&2)

Aktiviere die Windows Firewall.

Danach starte den Rechner neu und fahre mit einer Analyse fort.

Systemanalyse

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
Unter File -> Database Update Start drücken.
Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
Im Hauptfenster den Start Button drücken.
Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
Deaktiviere den AVZGuard!
Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

neteller teilte mir mit, dass mein account vorübergehend geschlossen sei. leider hielten sich die leute vom neteller support sehr bedeckt über die details der schließung. sie schrieben ich solle mich an meinen emailprovider wenden und prüfen lassen ob in letzter zeit zugriff auf meinen account von verdächtigen ip's erfolgt sei. meine einzige idee wie jemand an mein kennwort gekommen sein könnte: ein trojaner/keylogger, daher der verdacht!

virustotal ergebnisse:

Datei shdocvw.dll empfangen 2008.10.18 21:54:01 (CET)
Status: Beendet
Ergebnis: 0/36 (0.00%)
Filter Filter

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.18.0 2008.10.18 -
AntiVir 7.9.0.5 2008.10.17 -
Authentium 5.1.0.4 2008.10.18 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.17 -
BitDefender 7.2 2008.10.18 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.18 -
DrWeb 4.44.0.09170 2008.10.18 -
eSafe 7.0.17.0 2008.10.16 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.18 -
F-Prot 4.4.4.56 2008.10.18 -
F-Secure 8.0.14332.0 2008.10.18 -
Fortinet 3.113.0.0 2008.10.18 -
GData 19 2008.10.18 -
Ikarus T3.1.1.44.0 2008.10.18 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.18 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.18 -
NOD32 3534 2008.10.18 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.18 -
PCTools 4.4.2.0 2008.10.18 -
Prevx1 V2 2008.10.18 -
Rising 20.66.52.00 2008.10.18 -
SecureWeb-Gateway 6.7.6 2008.10.18 -
Sophos 4.34.0 2008.10.18 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.18 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.18 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.18 -

weiteres folgt...

ich habe mich exakt an deine anweisungen gehalten. zu beginn lief der scan von avg auch ganz normal. er hat ~ 106000 dateien gescannt. als es fast fertig war hat es einfach abgebrochen. vorher kamen drei meldungen (ich kann wegen dem abbruch nicht den genauen wortlaut widergeben, aber die pfade stimmen)

"c:\programme\spsseval\productregistration.exe" is suspicious of trojan...win32.VB.ada
(gehört meiner meinung nach zu meinem statistik programm)

"C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ScanningProcess.exe" is suspicious of trojan...win32.cpatcha

"c:\programme\postgreSQL\8.3\lib\chkpass.dll" is suspicious of trojan...win32.TopBind

ich hab das ganze nochmal gestartet. mit dem selben ergebnis. hab jetzt alle drei oben genannten dateien bei virustotal hochgeladen, jeweils ohne ergebnis.

hier die logs:

Code:

Datei ProductRegistration.exe empfangen 2008.10.27 22:17:37 (CET)

Status: Beendet

Ergebnis: 0/36 (0%)
 

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.10.27.3 2008.10.27 -

AntiVir 7.9.0.9 2008.10.27 -

Authentium 5.1.0.4 2008.10.27 -

Avast 4.8.1248.0 2008.10.27 -

AVG 8.0.0.161 2008.10.27 -

BitDefender 7.2 2008.10.27 -

CAT-QuickHeal 9.50 2008.10.27 -

ClamAV 0.93.1 2008.10.27 -

DrWeb 4.44.0.09170 2008.10.27 -

eSafe 7.0.17.0 2008.10.27 -

eTrust-Vet 31.6.6168 2008.10.25 -

Ewido 4.0 2008.10.27 -

F-Prot 4.4.4.56 2008.10.27 -

F-Secure 8.0.14332.0 2008.10.27 -

Fortinet 3.113.0.0 2008.10.27 -

GData 19 2008.10.27 -

Ikarus T3.1.1.44.0 2008.10.27 -

K7AntiVirus 7.10.509 2008.10.27 -

Kaspersky 7.0.0.125 2008.10.27 -

McAfee 5415 2008.10.25 -

Microsoft 1.4005 2008.10.27 -

NOD32 3560 2008.10.27 -

Norman 5.80.02 2008.10.27 -

Panda 9.0.0.4 2008.10.27 -

PCTools 4.4.2.0 2008.10.27 -

Prevx1 V2 2008.10.27 -

Rising 21.01.02.00 2008.10.27 -

Filter
 

SecureWeb-Gateway 6.7.6 2008.10.27 -

Sophos 4.35.0 2008.10.27 -

Sunbelt 3.1.1753.1 2008.10.25 -

Symantec 10 2008.10.27 -

TheHacker 6.3.1.1.131 2008.10.27 -

TrendMicro 8.700.0.1004 2008.10.27 -

VBA32 3.12.8.8 2008.10.27 -

ViRobot 2008.10.27.1438 2008.10.27 -

VirusBuster 4.5.11.0 2008.10.27 -

weitere Informationen

File size: 32768 bytes

MD5...: 14ecf93a522878ac260839b7093d0ef6

SHA1..: 871202861b6963c9236483c96108be613d118d7e

SHA256: 0a29677b02a48561f62e0df283a9e27218c220c928fb659ff4e432b1f1ec9436

SHA512: afc7ff74c3240cbcd0a3bea851339239fcb7ce33305419668cd489d51ab03a4f

f160ec6c4ee9d74acd8d34cca619bd06a846eb1e6f7282fb3826ae410ebfe126

PEiD..: -

TrID..: File type identification

Win32 Executable Microsoft Visual Basic 6 (90.9%)

Win32 Executable Generic (6.1%)

Generic Win/DOS Executable (1.4%)

DOS Executable Generic (1.4%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x4014ac

timedatestamp.....: 0x3f3be0be (Thu Aug 14 19:19:26 2003)

machinetype.......: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x401c 0x5000 4.86 290877a35af1e476e720461e86fb3a08

.data 0x6000 0xaac 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

.rsrc 0x7000 0x914 0x1000 1.97 16bab8873433d51d4ba73d24dc61d31d

( 1 imports )

> MSVBVM60.DLL: __vbaVarSub, _CIcos, _adj_fptan, __vbaVarMove,

__vbaStrI4, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr,

__vbaFreeVarList, _adj_fdiv_m64, __vbaLineInputVar, __vbaFreeObjList,

__vbaStrErrVarCopy, _adj_fprem1, -, __vbaStrCat, __vbaWriteFile,

__vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, __vbaLenVar,

-, _adj_fdiv_m32, __vbaExitProc, __vbaVarForInit, __vbaOnError,

__vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -,

__vbaBoolVarNull, _CIsin, -, __vbaChkstk, __vbaFileClose, -,

EVENT_SINK_AddRef, __vbaStrCmp, -, __vbaVarTstEq, __vbaObjVar, __vbaI2I4,

DllFunctionCall, -, _adj_fpatan, __vbaFixstrConstruct,

EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface,

__vbaExceptHandler, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem,

_adj_fdivr_m64, -, -, __vbaFPException, __vbaInStrVar, __vbaStrVarVal,

__vbaVarCat, __vbaI2Var, __vbaLsetFixstrFree, _CIlog, __vbaErrorOverflow,

__vbaFileOpen, __vbaNew2, __vbaInStr, -, -, _adj_fdiv_m32i,

_adj_fdivr_m32i, __vbaStrCopy, __vbaVarNot, __vbaFreeStrList,

VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis http://www.virustotal.com/de/analisis/83c1c4b62308478bd0e638626...

2 von 3 27.10.2008 22:19

_adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaVarTstNe, __vbaI4Var, -,

__vbaVarAdd, __vbaStrToAnsi, -, __vbaVarLateMemCallLd, __vbaVarCopy,

__vbaLateMemCallLd, -, _CIatan, __vbaStrMove, -, _allmul, _CItan,

__vbaVarForNext, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )

ThreatExpert info: http://www.threatexpert.com

/report.aspx?md5=14ecf93a522878ac260839b7093d0ef6

Code:

Datei ScanningProcess.exe empfangen 2008.08.27 15:06:55 (CET)

Status: Beendet

Ergebnis: 0/36 (0.00%)

Drucken der Ergebnisse

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.8.27.1 2008.08.27 -

AntiVir 7.8.1.23 2008.08.27 -

Authentium 5.1.0.4 2008.08.27 -

Avast 4.8.1195.0 2008.08.26 -

AVG 8.0.0.161 2008.08.27 -

BitDefender 7.2 2008.08.27 -

CAT-QuickHeal 9.50 2008.08.26 -

ClamAV 0.93.1 2008.08.27 -

DrWeb 4.44.0.09170 2008.08.27 -

eSafe 7.0.17.0 2008.08.26 -

eTrust-Vet 31.6.6050 2008.08.26 -

Ewido 4.0 2008.08.27 -

F-Prot 4.4.4.56 2008.08.27 -

F-Secure 7.60.13501.0 2008.08.27 -

Fortinet 3.14.0.0 2008.08.26 -

GData 2.0.7306.1023 2008.08.27 -

Ikarus T3.1.1.34.0 2008.08.27 -

K7AntiVirus 7.10.428 2008.08.25 -

Kaspersky 7.0.0.125 2008.08.27 -

McAfee 5370 2008.08.26 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3392 2008.08.27 -

Norman 5.80.02 2008.08.26 -

Panda 9.0.0.4 2008.08.26 -

PCTools 4.4.2.0 2008.08.26 -

Prevx1 V2 2008.08.27 -

Rising 20.59.21.00 2008.08.27 -

Sophos 4.32.0 2008.08.27 -

Sunbelt 3.1.1582.1 2008.08.26 -

Symantec 10 2008.08.27 -

TheHacker 6.3.0.6.060 2008.08.23 -

TrendMicro 8.700.0.1004 2008.08.27 -

VBA32 3.12.8.4 2008.08.26 -

ViRobot 2008.8.27.1352 2008.08.27 -

VirusBuster 4.5.11.0 2008.08.26 -

Webwasher-Gateway 6.6.2 2008.08.27 -

weitere Informationen

File size: 139264 bytes

MD5...: 20fb4ce9844783ce866e8e69fcbec8d3

SHA1..: 5e4aa446b95d0940816894662ee38013c349e924

SHA256: 5ef6113954d272411c841c3f2e6373832c3b88c473d042c22574430897a2df87

SHA512: 55dc8fd628c48e7918eaee1405ea4a03fc23cdbbb81afe4a154455ee6b5c97a7

9e791060eadd1fd9ea43a3948a0e8d5a7184001cf6966e795931ba0952a8483b

PEiD..: -

TrID..: File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)

Filter

Virustotal. MD5: 20fb4ce9844783ce866e8e69fcbec8d3 

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x4154bf

timedatestamp.....: 0x4884a3f8 (Mon Jul 21 14:58:00 2008)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x15748 0x16000 6.32 4ca213332fe260ffbdddf94117ccdc11

.rdata 0x17000 0x8de8 0x9000 5.54 4b2e332a081a4b835c3ecd8e7625c584

.data 0x20000 0x3024 0x1000 1.82 73c7d33470e8ff98188258caf31c3ea4

.rsrc 0x24000 0x4fc 0x1000 4.05 fc96808b8c124aa34e4a5e070af8f176

( 6 imports )

> fssync.dll: FSSync_Done, FSSync_SetCheck, FSSync_Remove, FSSync_Init

> KERNEL32.dll: EnterCriticalSection, lstrlenA, GetTempPathW, GetTickCount, GetModuleFileNameW, GetModuleHandleA, GetLastError,

InterlockedDecrement, InterlockedIncrement, GetProcAddress, LoadLibraryA, lstrcpyA, GetModuleFileNameA, FreeLibrary, GetSystemInfo,

GetVersionExA, CopyFileA, GetSystemDirectoryA, lstrcatA, TerminateProcess, OpenProcess, GetCurrentProcess, CreateMutexA,

SetCurrentDirectoryA, GetCurrentDirectoryA, GetPrivateProfileIntA, GetCurrentProcessId, LeaveCriticalSection, LocalFree,

SetProcessWorkingSetSize, OpenEventA, InitializeCriticalSection, DeleteCriticalSection, SetThreadPriority, GetCurrentThread,

ExitProcess, WaitForSingleObject, SetEvent, CreateEventA, WaitForMultipleObjects, SetUnhandledExceptionFilter, ResumeThread,

GetEnvironmentVariableA, DuplicateHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, OpenFileMappingA, SetThreadLocale,

GetSystemDefaultLCID, GetThreadLocale, GetVersion, GetShortPathNameA, GetShortPathNameW, Sleep, lstrlenW, GetSystemTime, GetCurrentThreadId, SetFilePointer, WriteFile, CloseHandle, SetLastError, WideCharToMultiByte, MultiByteToWideChar, GetStartupInfoA,

UnhandledExceptionFilter, IsDebuggerPresent, QueryPerformanceCounter, GetPrivateProfileStringA, GetSystemTimeAsFileTime, GetLocaleInfoA, InterlockedCompareExchange, InterlockedExchange

> ADVAPI32.dll: BuildExplicitAccessWithNameA, SetEntriesInAclA, SetSecurityInfo, OpenProcessToken, LookupPrivilegeValueA,

AdjustTokenPrivileges, OpenSCManagerA, OpenServiceA, CreateServiceA, ChangeServiceConfigA, StartServiceA, CloseServiceHandle,

RegCreateKeyW, RegSetValueExW, RegCloseKey, GetUserNameA

> MSVCP80.dll: __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ,

__0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z,

__0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ,

__4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z,

__4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z,

_substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z,

__Y_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z,

__$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBDABV10@@__$_H_WU_$char_traits@_W@std@@V_$allocator@_W@1@@std@@YA_AV_$basic_string@_WU_$char_traits@_W@std@@V_$allocator@_W@2@@0@__0_$basic_string@_WU_$char_traits@_W@std@@V_$allocator@_W@2@@std@@QAE@PB_W@Z,

__1_$basic_string@_WU_$char_traits@_W@std@@V_$allocator@_W@2@@std@@QAE@XZ,

__0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z

> MSVCR80.dll: wcsrchr, memset, memcpy, strncat, _strnicmp, vsprintf_s, wcscpy_s, wcscat_s, __CxxFrameHandler3, ___V@YAXPAX@_vsnprintf, _waccess, wcsstr, wcscspn, iswdigit, wcschr, _wcsupr, free, _wcsdup, _wcsnicmp, printf, wcsspn, _wcsicmp, wcsncpy,

strrchr, strstr, __0exception@std@@QAE@ABQBD@Z, _what@exception@std@@UBEPBDXZ, __1exception@std@@UAE@XZ, __0exception@std@@_beginthreadex, _fullpath, sprintf, _invalid_parameter_noinfo, _CxxThrowException, __0exception@std@@QAE@ABV01@@Z, isalnum, fclose, fwrite, fprintf, fopen, _snprintf, strncpy, _wsplitpath, _mbsnbcpy, _mbslen, _mbsninc, _splitpath, _mbschr, _ismbblead,

_mbsdec, _except_handler4_common, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _amsg_exit, ___cexit, _exit, _XcptFilter, exit, _acmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv, __p__fmode, __set_app_type, strcpy, _terminate@@YAXXZ, __type_info_dtor_internal_method@type_info@@QAEXXZ, _crt_debugger__invoke_watson, _controlfp_s, malloc, _callnewh, __3@YAXPAX@Z, strchr

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

Code:

Datei chkpass.dll empfangen 2008.10.27 22:13:24 (CET)

Status: Beendet

Ergebnis: 0/36 (0%)

Drucken der Ergebnisse

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.10.27.3 2008.10.27 -

AntiVir 7.9.0.9 2008.10.27 -

Authentium 5.1.0.4 2008.10.27 -

Avast 4.8.1248.0 2008.10.27 -

AVG 8.0.0.161 2008.10.27 -

BitDefender 7.2 2008.10.27 -

CAT-QuickHeal 9.50 2008.10.27 -

ClamAV 0.93.1 2008.10.27 -

DrWeb 4.44.0.09170 2008.10.27 -

eSafe 7.0.17.0 2008.10.27 -

eTrust-Vet 31.6.6168 2008.10.25 -

Ewido 4.0 2008.10.27 -

F-Prot 4.4.4.56 2008.10.27 -

F-Secure 8.0.14332.0 2008.10.27 -

Fortinet 3.113.0.0 2008.10.27 -

GData 19 2008.10.27 -

Ikarus T3.1.1.44.0 2008.10.27 -

K7AntiVirus 7.10.509 2008.10.27 -

Kaspersky 7.0.0.125 2008.10.27 -

McAfee 5415 2008.10.25 -

Microsoft 1.4005 2008.10.27 -

NOD32 3560 2008.10.27 -

Norman 5.80.02 2008.10.27 -

Panda 9.0.0.4 2008.10.27 -

PCTools 4.4.2.0 2008.10.27 -

Prevx1 V2 2008.10.27 -

Rising 21.01.02.00 2008.10.27 -
 

SecureWeb-Gateway 6.7.6 2008.10.27 -

Sophos 4.35.0 2008.10.27 -

Sunbelt 3.1.1753.1 2008.10.25 -

Symantec 10 2008.10.27 -

TheHacker 6.3.1.1.131 2008.10.27 -

TrendMicro 8.700.0.1004 2008.10.27 -

VBA32 3.12.8.8 2008.10.27 -

ViRobot 2008.10.27.1438 2008.10.27 -

VirusBuster 4.5.11.0 2008.10.27 -

weitere Informationen

File size: 17920 bytes

MD5...: f8a67d00ab92696a8991066aacad00eb

SHA1..: bd6109b52311a868502c8a052a13cd000d5412ea

SHA256: 92e63efad086740b3694c4c490e9968bf114735760743800254d9bb2b27ecfdb

SHA512: 61c55d666b0817e73857de2c059af1e46d17b541b4913ce4a75175153a2ae81c

0855a2925260796cbec3e736ee3afe4248d24c7e5c7319f6e2eb822a03412b39

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x1000177a

timedatestamp.....: 0x48d3712f (Fri Sep 19 09:30:23 2008)

machinetype.......: 0x14c (I386)

( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1ed5 0x2000 3.24 78e939340089b647e5f8066554b2b50f

.rdata 0x3000 0x1194 0x1200 0.98 f355e399906e172b3285980dd7c00d16

.data 0x5000 0x4e0 0x200 1.56 715806dcd0badf550a2c05bce809c3a0

.idata 0x6000 0x6e1 0x800 3.22 93e0fcc20cf2a4c6f2f0a2c430711d91

.rsrc 0x7000 0x1ac 0x200 5.29 115757db80e0dcdd72cf50e95c4b7557

.reloc 0x8000 0x227 0x400 3.02 c0607e38270c8a88b6775a687abc4e76

( 3 imports )

> postgres.exe: pg_detoast_datum, CurrentMemoryContext,

MemoryContextAlloc, strlcpy, random, crypt

> MSVCR80.dll: _amsg_exit, _adjust_fdiv, _initterm_e, _crt_debugger_hook,

__clean_type_info_names_internal, _unlock, __dllonexit, _lock, _onexit,

_except_handler4_common, _initterm, _decode_pointer, _encoded_null, free,

_malloc_crt, _encode_pointer, memcpy, __CppXcptFilter

> KERNEL32.dll: GetSystemTimeAsFileTime, GetCurrentProcessId,

GetCurrentThreadId, GetTickCount, QueryPerformanceCounter,

DisableThreadLibraryCalls, SetUnhandledExceptionFilter,

UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess,

InterlockedCompareExchange, Sleep, InterlockedExchange, IsDebuggerPresent

( 11 exports )
 

Pg_magic_func, chkpass_eq, chkpass_in, chkpass_ne, chkpass_out,

chkpass_rout, pg_finfo_chkpass_eq, pg_finfo_chkpass_in,

pg_finfo_chkpass_ne, pg_finfo_chkpass_out, pg_finfo_chkpass_rout

ideen wie ich weiter vorgehen kann? bin ein bisschen verwirrt...

Hast du versucht mit AVZ oder AVG zu scannen?

Zitat:

zu beginn lief der scan von avg auch ganz normal.

du meinstest AVZ oder?
Versuche es bitte einfach noch einmal..

ja, ich meinte avz. ich werds nchmal versuchen und berichten!
danke schonmal fürs kümmern!

ich hab nochmal den avz scanner laufen lassen. weil ich mir schon gedacht hab, dass er kurz vor schluss wieder abbricht, hab ich kurz vor schluss scan pausieren gedrückt. und zu diesem zeitpunkt das logfile gespeichert. scan brach auch wieder ab. diesmal bei ca.110000 files...
ich hab die gefundene "cplbcl53.exe" bei virustotal gecheckt: 0 von 36 haben was gefunden (wie bei den andern dateien)

avz log:

Code:

AVZ Antiviral Toolkit log; AVZ version is 4.30

Scanning started at 28.10.2008 18:19:04

Database loaded: signatures - 193405, NN profile(s) - 2, microprograms of healing - 56, signature database released 27.10.2008 21:37

Heuristic microprograms loaded: 370

SPV microprograms loaded: 9

Digital signatures of system files loaded: 74240

Heuristic analyzer mode: Medium heuristics level

Healing mode: disabled

Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights

System Restore: Disabled

1. Searching for Rootkits and programs intercepting API functions

1.1 Searching for user-mode API hooks

 Analysis: kernel32.dll, export table found in section .text

 Analysis: ntdll.dll, export table found in section .text

 Analysis: user32.dll, export table found in section .text

 Analysis: advapi32.dll, export table found in section .text

 Analysis: ws2_32.dll, export table found in section .text

 Analysis: wininet.dll, export table found in section .text

 Analysis: rasapi32.dll, export table found in section .text

 Analysis: urlmon.dll, export table found in section .text

 Analysis: netapi32.dll, export table found in section .text

1.4 Searching for masking processes and drivers

Visible process, PID=2548, name = "\Device\HarddiskVolume1\Programme\Launch Manager\CPLBCL53.EXE"

 >> Name substitution detected, new name = "c:\progra~1\launch~1\cplbcl53.exe"

 Searching for masking processes and drivers - complete

 Driver loaded successfully

1.5 Checking of IRP handlers

 Checking - complete

2. Scanning memory

 Number of processes found: 36

 Number of modules loaded: 316

Scanning memory - complete

3. Scanning disks

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ScanningProcess.exe >>> suspicion for Trojan-Spy.Win32.Cpatcha ( 005E3A96 08CCEE7D 0020EAFF 0021E0B2 139264)

C:\Programme\SPSSEVAL\ProductRegistration.exe >>> suspicion for Trojan-Downloader.Win32.VB.ada ( 003D48D9 004C19B7 00174F0F 001907BD 32768)

C:\Programme\PostgreSQL\8.3\lib\chkpass.dll >>> suspicion for Trojan-Dropper.Win32.TopBind ( 0B8CA65F 03D360ED 003DF1D0 00000000 17920)

und jetzt? die "funde" sind fehlalarme, wenn sie bei virustotal sauber sind, oder?

Poste bitte auch das zweite log! Einfach den Scan aus dem ersten Teil der Anleitung weglassen und die SystemAnalyse durchführen..

ich hab das ergebnis der system analysis unter

http://rapidshare.com/files/158437851/avz_sysinfo.zip.html

hochgeladen.

Läuft postgresql mit Absicht?

Deinstalliere Spybot und auch sonst alle anderen Anti irgendwas Progs außer AntiVir und die die wir dir hier empfehlen..

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\spss_lmd.cpl

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Lade uns die Daei bitte auch auf den Server hoch: http://www.trojaner-board.de/54791-anleitung-uploadchannel-trojaner-board.html

Führe danach folgendes Skript mit AVZ aus (File -> Custom Skript)

Code:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

 QuarantineFile('C:\WINDOWS\system32\spss_lmd.cpl','');

 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}');

 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-0000-0010-8000-00AA00389B71}');

 DelBHO('{53707962-6F74-2D53-2644-206D7942484F}');

 DeleteFile('C:\Programme\Spybot\SDHelper.dll');

 DeleteFile('C:\WINDOWS\System32\DRIVERS\AvgArCln.sys');

 DeleteFile('C:\WINDOWS\system32\Drivers\avgarkt.sys');

 DeleteFile('C:\WINDOWS\system32\Drivers\pavboot.sys');

 DeleteFile('C:\WINDOWS\System32\DRIVERS\avgarkt.sys');

 DeleteFile('C:\WINDOWS\system32\DRIVERS\AvgArCln.sys');

 BC_DeleteFile('(None)');

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

ich war zwei tage weg. daher jetzt erst meine nächsten schritte.
zunächst die virustotal auswertung der spss_lmd.cpl (gehört meiner ansicht nach zu meinem statistik programm)

Code:

 Datei spss_lmd.cpl empfangen 2008.10.31 16:55:11 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
 
 

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3        2008.10.30.1        2008.10.31        -

AntiVir        7.9.0.10        2008.10.31        -

Authentium        5.1.0.4        2008.10.31        -

Avast        4.8.1248.0        2008.10.31        -

AVG        8.0.0.161        2008.10.31        -

BitDefender        7.2        2008.10.31        -

CAT-QuickHeal        9.50        2008.10.31        -

ClamAV        0.94.1        2008.10.31        -

DrWeb        4.44.0.09170        2008.10.31        -

eSafe        7.0.17.0        2008.10.30        -

eTrust-Vet        31.6.6184        2008.10.31        -

Ewido        4.0        2008.10.31        -

F-Prot        4.4.4.56        2008.10.30        -

F-Secure        8.0.14332.0        2008.10.31        -

Fortinet        3.117.0.0        2008.10.31        -

GData        19        2008.10.31        -

Ikarus        T3.1.1.44.0        2008.10.31        -

K7AntiVirus        7.10.513        2008.10.31        -

Kaspersky        7.0.0.125        2008.10.31        -

McAfee        5419        2008.10.31        -

Microsoft        1.4005        2008.10.31        -

NOD32        3573        2008.10.31        -

Norman        5.80.02        2008.10.30        -

Panda        9.0.0.4        2008.10.30        -

PCTools        4.4.2.0        2008.10.31        -

Prevx1        V2        2008.10.31        -

Rising        21.01.42.00        2008.10.31        -

SecureWeb-Gateway        6.7.6        2008.10.31        -

Sophos        4.35.0        2008.10.31        -

Sunbelt        3.1.1767.2        2008.10.31        -

Symantec        10        2008.10.31        -

TheHacker        6.3.1.1.135        2008.10.31        -

TrendMicro        8.700.0.1004        2008.10.31        -

VBA32        3.12.8.9        2008.10.30        -

ViRobot        2008.10.31.1446        2008.10.31        -

VirusBuster        4.5.11.0        2008.10.31        -

weitere Informationen

File size: 49664 bytes

MD5...: b399f686d8eb8e9139862ae0e163ceab

SHA1..: a8262009ca518a7384ae79680174c32d0418d66a

SHA256: 3d6fb187c45a0068db5968ac45cfdafdb381d63cb3611c6cd7ee8854a2838468

SHA512: 352af773659414b994400e080d0716c8cc87fe32206226bc1ba40c235ff34820

209a284c82313302c0784d027a619e5194b81cf6b983f90d075ffec54a4217d0

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (51.4%)

Win 9x/ME Control Panel applet (21.1%)

Win32 Executable Generic (11.6%)

Win32 Dynamic Link Library (generic) (10.3%)

Generic Win/DOS Executable (2.7%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1c003080

timedatestamp.....: 0x38eb7276 (Wed Apr 05 17:05:58 2000)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5580 0x5600 6.43 96b83671b1e8390b3f651446ff83810f

.rdata 0x7000 0xd10 0xe00 5.06 e9076b59fe7b438a0dbd4b730a859b76

.data 0x8000 0x4c9c 0x3400 1.46 2b43510068dd3f6764c7529f8ea1b896

.rsrc 0xd000 0x193c 0x1a00 3.42 53d8a8c3fe67e3857e364b5674624de8

.reloc 0xf000 0x9da 0xa00 6.07 9f99ad210fc3464e8e292db0839d99e1
 

( 3 imports )

> USER32.dll: MessageBoxA, LoadIconA, DialogBoxParamA, SetWindowTextA, EndDialog, SendDlgItemMessageA, WinHelpA, wsprintfA, CheckRadioButton, SetDlgItemTextA, GetFocus, GetDlgItemTextA, SetFocus, EnableWindow, SetCursor, PostQuitMessage, LoadCursorA, CheckDlgButton, GetDlgItem, SendMessageA

> KERNEL32.dll: HeapCreate, ExitProcess, SetFilePointer, SetStdHandle, GetCurrentProcessId, LoadLibraryA, GetProcAddress, FlushFileBuffers, LCMapStringA, lstrcpyA, GetVersion, CloseHandle, CreateFileA, SetCurrentDirectoryA, WritePrivateProfileStringA, GetPrivateProfileStringA, Sleep, GetSystemDirectoryA, GetCurrentProcess, GetCurrentThreadId, GetStringTypeA, WriteFile, GetStringTypeW, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, MultiByteToWideChar, FreeEnvironmentStringsA, FreeEnvironmentStringsW, HeapAlloc, GetCommandLineA, HeapDestroy, TlsAlloc, VirtualFree, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, LCMapStringW, HeapFree, VirtualAlloc, TerminateProcess, SetHandleCount, TlsSetValue, GetStdHandle, TlsFree, SetLastError, TlsGetValue, GetLastError, GetStartupInfoA, GetACP, GetFileType, GetCPInfo, GetModuleFileNameA, GetOEMCP

> ADVAPI32.dll: StartServiceA, QueryServiceConfigA, ChangeServiceConfigA, CreateServiceA, CloseServiceHandle, OpenSCManagerA, OpenServiceA, QueryServiceStatus, ControlService, DeleteService
 

( 7 exports )

AboutDlg, CPlApplet, ElmInitDlg, SettingsDlg, ViewDlg, elm_deleteservice, elm_installservice

ich hab die datei auch auf euern server hochgeladen.
postgresql läuft mit absicht.

kannst du entwarnung geben? soll ich noch weitere analysen machen?

falls das file wirklich sauber ist: ist es jetzt von avz unter quarantäne gesetzt?
wirklich vielen dank für die mühe!

Zitat:

ist es jetzt von avz unter quarantäne gesetzt?

Jap. Kannst du aber wiederherstellen wenn du dir 100%tig sicher bist, dass sie sauber ist.

Eine VT Auswertung muss nicht immer was bedeuten..

Die logs sehen gut aus. Ganz sicher kann man da aber nie sein!

dann nochmal danke für die hilfe! wahnsinnig gute wichtige arbeit die du und die andern spezialisten hier machen!