Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trendmicro Virenwarnung, div. Popups in Firefox (https://www.trojaner-board.de/68543-trendmicro-virenwarnung-div-popups-firefox.html)

xTimox 13.01.2009 23:25

Trendmicro Virenwarnung, div. Popups in Firefox
 
Hi zusammen,

habe hier ein Notebook, bei dem sich seit gestern Abend / Nacht immer wieder beim surfen mit FireFox popups öffnen, welche aber gleich verschwinden oder keinen Inhalt haben.
Mein Trendmicro meldete mir gestern Abend er hätte Spyware gefunden (Virtumundo). Die Dateien wurden sofort automatisch unter quarantäne gesetzt, und ich habe mit VundoFix versucht die Adware zu entfernen -> erfolglos, angeblich keine infizierung gefunden.

Das eigenartige ist, dass das Notebook einfach nur hier (hinter der Firewall) stand und Trend Micro IS lief.

Im Anhang mein HJT log. Danke schonmal für eure Hilfe!

Lg,
Timo

Zitat:

siehe update 00:03 Uhr

arikari 13.01.2009 23:34

Du musst noch was an deinem HiJackThis Logfile ändern.

Links bearbeiten: http://www. ... in h**p bzw. www.blabla in w*w.blabla

und deine persönlichen daten wie z.B. C:\Dokumente und Einstellungen\Horst Mustermann .... eben deinen Benutzernamen ändern, beispielsweise dann in: C:\Dokumente und Einstellungen\***\

gruß

xTimox 13.01.2009 23:40

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:53, on 13.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\wltrysvc.exe
C:\WINXP\System32\bcmwltry.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\WLTRAY.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\igfxpers.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Trend Micro\BM\TMBMSRV.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
C:\Programme\Trend Micro\Internet Security\TmProxy.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: (no name) - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - (no file)
O3 - Toolbar: (no name) - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINXP\system32\WLTRAY
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINXP\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINXP\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINXP\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/wind...?1230727669359
O20 - AppInit_DLLs: jmddkz.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINXP\System32\wltrysvc.exe

--
End of file - 6153 bytes
Passt es so?
Lg,
Timo

//edit
Um die nächste Frage gleich vorwegzunehmen:

Windows XP SP3, inkl. aller Sicherheitsupdates
:-)

lg,
Timo

arikari 13.01.2009 23:43

Ja, der Sinn und Zweck des ganzen ist ja, dass keiner auf die links klickt!
Hast du wohl beim Erstellen deines Themas übersehen!?

lg

xTimox 13.01.2009 23:44

Habe ich vergessen zu ersetzen .. ja.
Habe den Log grad selbst mal grob durchgegangen. Finde eigentlich nichts auffälliges. Es ist jat nicht so, dass ich hilf bzw mittellos bin. (Fachinformatiker Systemintegration)
Aber im moment bin ich entweder blind oder doof?

Lg,
Timo

arikari 13.01.2009 23:47

Da kennst du dich vielleicht noch besser aus als ich!
Wie du auch an meinen Beiträgen erkennen kannst, bin ich wohl nicht der, der dir weiterhelfen kann. Das müssen demnach andere tun!
Wollte dich nur auf das Fixen von den Links etc. hinweisen, da dir sonst möglicherweise nicht geholfen wird! ;)

LG

xTimox 13.01.2009 23:51

Schade ... :) Danke aber trotzdem! Auch für den Tipp!

Lg,
Timo

xTimox 14.01.2009 00:03

Kleines mitternächtliches Update:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:01:09, on 14.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\wltrysvc.exe
C:\WINXP\System32\bcmwltry.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\WLTRAY.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\igfxpers.exe
C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Trend Micro\BM\TMBMSRV.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
C:\Programme\Trend Micro\Internet Security\TmProxy.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Downloads\ProcessExplorer\procexp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINXP\system32\WLTRAY
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINXP\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINXP\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINXP\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230727669359
O20 - AppInit_DLLs: jmddkz.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINXP\System32\wltrysvc.exe

--
End of file - 5815 bytes
http://www.abload.de/thumb/procexpbc1k.jpg

john.doe 14.01.2009 00:12

Hallo und :hallo:

Zitat:

Aber im moment bin ich entweder blind oder doof?
Möchtest du die ehrliche oder die höfliche Antwort? ;)

Ich habe Fachinformatiker Fachrichtung Systemintegration ausgebildet. Ich kenne den Lehrplan. Frag mich lieber nicht nach meiner Meinung zu Fachinformatikern.

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:

C:\WINDOWS\system32\jmddkz.dll
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, dann mache weiter mit der Liste.

2.) Starte HJT => Do a system scan only => Markiere:
Code:

R3 - URLSearchHook: (no name) - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - (no file)
O3 - Toolbar: (no name) - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O20 - AppInit_DLLs: jmddkz.dll

=> Fix checked

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

xTimox 14.01.2009 00:20

Von der Ausbildung reden wir besser nicht, da stimme ich dir zu! :-)
Habe die Datei selbst gerade gesehen, womit ich mir meine Frage selbst höflich beantwortet habe :kloppen: :)

Zu 1.)
Zitat:

ntivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.13 -
AhnLab-V3 2009.1.13.3 2009.01.13 -
AntiVir 7.9.0.54 2009.01.13 -
Authentium 5.1.0.4 2009.01.13 -
Avast 4.8.1281.0 2009.01.13 -
AVG 8.0.0.229 2009.01.13 Vundo.CW
BitDefender 7.2 2009.01.13 Gen:Trojan.Heur.544453
CAT-QuickHeal 10.00 2009.01.12 -
ClamAV 0.94.1 2009.01.13 -
Comodo 919 2009.01.12 -
DrWeb 4.44.0.09170 2009.01.12 -
eSafe 7.0.17.0 2009.01.12 Suspicious File
eTrust-Vet 31.6.6304 2009.01.12 -
F-Prot 4.4.4.56 2009.01.12 W32/Virtumonde.AC.gen!Eldorado
F-Secure 8.0.14470.0 2009.01.13 -
Fortinet 3.117.0.0 2009.01.13 -
GData 19 2009.01.13 Gen:Trojan.Heur.544453
Ikarus T3.1.1.45.0 2009.01.13 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.13 -
McAfee 5493 2009.01.12 Vundo.gen.k
McAfee+Artemis 5493 2009.01.12 Vundo.gen.k
Microsoft 1.4205 2009.01.13 Trojan:Win32/Vundo.gen!R
NOD32 3761 2009.01.13 -
Norman 5.93.01 2009.01.12 -
Panda 9.4.3.3 2009.01.12 -
PCTools 4.4.2.0 2009.01.12 -
Prevx1 V2 2009.01.13 Fraudulent Security Program
Rising 21.12.12.00 2009.01.13 -
SecureWeb-Gateway 6.7.6 2009.01.13 Win32.Malware.gen!86 (suspicious)
Sophos 4.37.0 2009.01.13 Troj/Virtum-Gen
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.13 -
TheHacker 6.3.1.4.218 2009.01.11 -
TrendMicro 8.700.0.1004 2009.01.13 PAK_Generic.001
VBA32 3.12.8.10 2009.01.12 -
ViRobot 2009.1.13.1556 2009.01.13 -
VirusBuster 4.5.11.0 2009.01.12 -
weitere Informationen
File size: 104448 bytes
MD5...: da8754e1478dfdae8eaab25a329fd562
SHA1..: 8145ea80aa3b9eaf2b685c3d955be7dcea46dbf9
SHA256: bddf9c8ddfcf0af4d27555e8f369f8ee0d5ba7c070dc0e038f7f32ee18cf65b9
SHA512: 9610d31cbc506538c8224c3e79534b29fbd78501c9e7caf5971aeb0444fc51f1
76bf4812ed397b8a9e8a2a0397de319159544b1ac4bbc4c7340a368abac558a9
ssdeep: 3072:/4JB8XAfCfN5rl8EFleoKYoaVE1Oey37kdQtC:w3fCaE3eoKnaGMLC
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100010f1
timedatestamp.....: 0x7e380f73 (Sat Feb 07 07:06:27 2037)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa000 0x9400 7.94 b260e7f258aac5e04f2148e41c1c2e87
.itext 0xb000 0x1000 0x400 3.17 0a4e6e230535592dab145e431c74bab8
.rdata 0xc000 0x38000 0xf800 8.00 5ae7f1c42320cc2466b29b264999bf3d
.bss 0x44000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x45000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: GetFileSize, GetLocalTime, GetModuleHandleA, GetStartupInfoA, GetSystemTimeAsFileTime, LeaveCriticalSection, ExitProcess, OpenFileMappingA, ReadFile, SleepEx, VirtualAlloc, WriteFile, lstrlenA, CloseHandle, LoadLibraryA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )
Zu 2.)

bereits geschehen

Zu 3.)

bereits geschehen

Zu 4., 5., 6.)

Unbedingt nötig? Reicht es nicht, die Registry Einträge die auf diese Datei verweisen und die Datei selbst zu löschen?

Danke & Lg,
Timo

john.doe 14.01.2009 00:25

Zitat:

Reicht es nicht, die Registry Einträge die auf diese Datei verweisen und die Datei selbst zu löschen?
Alleine für diese Frage gehörst du :twak:

Abarbeiten. Schneller. Ich will Schweiß auf der Stirn sehen.

ciao, andreas

xTimox 14.01.2009 00:33

Nagut ... :party:

Morgen Abend gibts hier neuigkeiten ...

Bis Morgen,
Malwarbytes läuft, Lan ist deaktiviert.
Danke.

Gute Nacht,
Timo


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131