|
internetstartseite Hallo habe es in einem anderen Thread (im Nirvana) schon mal gepostet. ggf. bitte das alte Posting löschen. Anbei noch mal das aktuelle HiJack logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:53:08, on 17.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE C:\WINDOWS\system32\advhost.exe C:\WINDOWS\system32\advhost.exe C:\Programme\Internet Explorer\iexplore.exe G:\www-software\icq\ICQ6.5\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\java.exe C:\tmp\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myhottersearchbox.com/not_found_de/?url=www.freenet.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.explorerstartpage.com/wspage.php O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DLPSP] "c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "G:\www-software\icq\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\www-software\icq\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\www-software\icq\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O13 - DefaultPrefix: http://www.myhottersearchbox.com/not_found_de/?url= O13 - WWW Prefix: http://www.myhottersearchbox.com/not_found_de/?url= O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O20 - AppInit_DLLs: C:\WINDOWS\system32\adlaunch32.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Dell Printer Status Watcher (DLPWD) - Dell Inc. - c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE O23 - Service: Dell Printer Status Database (DLSDB) - Dell Inc. - c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 6244 bytes Über Hilfe bin ich sehr dankbar ... |
Lass mal Malwarebytes bitte durchlaufen und ein Log von Avira machen. Diese Einträge Zitat:
|
Hallo mrcaipirinha, da Du dazu tendierst, erstens Deine Probleme nicht richtig zu beschreiben und zweitens nicht genau das zu tun, was man Dir sagt (siehe alte Posts), möchte ich gerne, dass Du erstens nachholst und mir zweitens zusicherst, bevor ich mich mit Deinem Problem auseinander setze. Dann helfe ich Dir gerne. Grüße a5cl3p1o5 EDIT: na gut: da war jemand schneller ;) |
Du kannst gerne übernehmen - wenn du möchtest ;) |
@Angel21: ich schaue Dir auch gerne zu. Meine Internetverbindung ist gerade sowieso etwas überlastet. Muss ein Newsletter-System einrichten ... |
Okay, dann schaue ich mal wie weit ich komme :) |
Hallo, scan läuft gerade, Ergebnis wird dann gepostet. Danke schon mal vorab |
Bitte und die Einträge 013 bitte fixen, gehört definitiv nicht ins Logfile EDIT: schildere mal dein Problem bitte!! |
Problem ist sobald ich meinen Browser starte kommt die Internetseite www.myhotter... gebe ich http://www.bla-bla.. ein macht er die Seite korrekt auf. Scan läuft immer noch. Einträge werden gefixt. Danke. |
Liegt an den O13 Einträgen. |
die O 13 Einträge hatte ich gestern schon mal gefixt, nach Neustart wieder da, Antivir hatte nichts gefunden Malewarebytes läuft noch ist aber bereits über c:\ hinaus und schon bei Laufwerk g:\ |
Scan von Maleware läuft immer noch Antivir hat mir aber gerade einen Banuris.P2P gemeldet, Zugriff wurde von mir auf verweigern gestellt. |
Das ist ein Wurm der Banauris.p2p hier eine beschreibung dazu Worm/Banuris.P2P.1 - Full description |
muss ich dazu Einträge in der Registry noch manuell ändern oder ist das durch antivi oder maleware dann erledigt, das konnte ich der avira beschreibung nun nicht entnehmen |
Scan von Maleware läuft immer noch Antivir hat mir aber gerade einen Banuris.P2P gemeldet, Zugriff wurde von mir auf verweigern gestellt. |
Lass erstmal die Logs alle durchlaufen, ich hab grade mal nachgefragt was der beste schritt wäre. |
Welche Datei wurde von dem Wurm befallen? Pfad von Avira bitte hier rein |
so anbei bericht von maleware: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1859 Windows 5.1.2600 Service Pack 3 17.03.2009 20:28:29 mbam-log-2009-03-17 (20-28-29).txt Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|) Durchsuchte Objekte: 157993 Laufzeit: 1 hour(s), 19 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ich schau gleich mal bei antivir .. |
Pfad im Antivir: 'G:\RECYCLER\S-1-5-21-1006017120-1759559777-1203162895-1005\Dd23.mp3' Soll ich die Datei löschen? |
Na das Log sieht wenigstens gut aus, aber sicher sind wir noch lange nicht. |
lass mal bitte CCleaner nach der Anleitung so häufig analysieren und bereinigen bis er nichts mehr findet. Danach bitte noch mal ein neues HijackThis-Logfile. Wenn HijackThis gelaufen ist, Logfile posten und Hijackthis mit den Ergebnissen auf Deinem PC offen lassen!!! |
Hallo, CCleaner: REINIGUNG komplett - (0.225 Sek) ------------------------------------------------------------------------------------------ 0 Byte entfernt. ------------------------------------------------------------ Logfile HiJack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:48, on 17.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE C:\WINDOWS\system32\advhost.exe G:\www-software\icq\ICQ6.5\ICQ.exe C:\tmp\HiJack\CCleaner\CCleaner.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\tmp\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.explorerstartpage.com/wspage.php O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DLPSP] "c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "G:\www-software\icq\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\www-software\icq\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\www-software\icq\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O20 - AppInit_DLLs: C:\WINDOWS\system32\adlaunch32.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Dell Printer Status Watcher (DLPWD) - Dell Inc. - c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE O23 - Service: Dell Printer Status Database (DLSDB) - Dell Inc. - c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 6073 bytes |
Die O13 Einträge sind jetzt weg. Das ist schon einmal sehr gut. Kannste nochmal Avira laufen lassen, um zu schauen, ob noch etwas da ist? Avira bitte wie folgt durchlaufen lassen>>http://www.trojaner-board.de/54192-a...tellungen.html |
Code: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)und die hier unten bei Virustotal analysieren lassen und den kompletten Bericht posten Code: C:\WINDOWS\system32\advhost.exe |
Was willst du zuerst? XD |
avira eingestellt und läuft |
Und bitte danach das mit dem Fixen der Einträge befolgen, was dir a5cl3p1o5 sagte. Und die anderen Datein bei Virustotal uploaden. Ergebnis von Avira bitte hier posten. |
avira ist bei 2,5 % das kann dauern |
Was lange wird wird gut ;) Lass dir ruhig mit allem Zeit :) |
Du könntest meinen Post auch parallel zum Scan machen ... |
gefunden: WORM/Autorun.VGF.1 im Outlook.pst Wäre nicht gut wenn die Datenbank befallen wäre aktuell 8,2 % |
Gaaaaaaaanz durchlaufen lassen bitte :) |
ja läuft noch , gerade bei 20 % |
hehe, wenns so lange dauert ist er sehr sehr gründlich bei der Sache ;) |
Zitat:
Zitat:
|
Japp, das sieht man sehr sehr deutlich ;)) |
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 17. März 2009 21:28 Es wird nach 1304949 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: THEBRAIN Versionsinformationen: BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 12:40:07 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 13:54:51 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 13:54:52 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 13:54:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:40:26 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 15:37:51 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 13:57:02 ANTIVIR3.VDF : 7.1.2.182 183296 Bytes 17.03.2009 16:06:36 Engineversion : 8.2.0.116 AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 20:55:55 AESCRIPT.DLL : 8.1.1.63 364923 Bytes 12.03.2009 22:02:03 AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 17:12:59 AERDL.DLL : 8.1.1.3 438645 Bytes 10.11.2008 12:30:45 AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 17:12:07 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.02.2009 10:34:14 AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 17:12:58 AEHELP.DLL : 8.1.2.2 119158 Bytes 28.02.2009 10:34:11 AEGEN.DLL : 8.1.1.29 336245 Bytes 17.03.2009 16:06:37 AEEMU.DLL : 8.1.0.9 393588 Bytes 17.10.2008 14:45:30 AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 21:38:18 AEBB.DLL : 8.1.0.3 53618 Bytes 17.10.2008 14:45:28 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 13:54:51 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 13:54:51 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:14:27 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 13:54:51 AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 13:31:50 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 13:54:51 SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 13:31:50 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 13:54:52 NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 13:31:50 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 13:54:49 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 13:54:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, F:, G:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 17. März 2009 21:28 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '54441' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'advhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dlpwdnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dlsdbnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVIC~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TRAYAP~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DATALA~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dlpsp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '34' Prozesse mit '34' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '52' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Festplatte> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Le Cheffe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst [0] Archivtyp: MS Outlook Mailbox --> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][XXXXXXXXXXXXXXX]2273.Ebay-Rechnung.pdf.zip [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][XXXXXXXXXXXXXXXXX]2273.Ebay-Rechnung.pdf.zip [1] Archivtyp: ZIP --> Ebay-Rechnung.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.EbayBill --> Mailbox_[Folder:Gel schte Objekte][Subject:Ratenzahlung][From:mfunb@bradleyjoseph.com]3352.Rechnung.zip [1] Archivtyp: ZIP --> zertifikat.ssl [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BD --> Mailbox_[Folder:Gel schte Objekte][Subject:Abmahnung][From:qyagrammatical@balneariosannicolas.e.telefonica.net]3495.Mahnung05.zip [1] Archivtyp: ZIP --> Mahnung.scr [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BI --> Mailbox_[Folder:Gesendete Objekte][Subject:Abmahnung][From:XXXXXXXXXXXXXX]3498.Mahnung05.zip [1] Archivtyp: ZIP --> Mahnung.scr [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BI --> Mailbox_[Folder:Gel schte Objekte][Subject:Abrechnung 77184701619][From:dwrepairclinicm@repairclinic.com]3685.abrechnung.zip [1] Archivtyp: ZIP --> scann/scann.a [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BR --> abrechnung.lnk [FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.VGF.1 [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! Beginne mit der Suche in 'F:\' <Betriebssystem> Beginne mit der Suche in 'G:\' <XXXXXXXXXXX> G:\RECYCLER\S-1-5-21-1006017120-1759559777-1203162895-1005\Dd23.mp3 [FUND] Enthält Erkennungsmuster des Wurmes WORM/Banuris.P2P [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f215f6.qua' verschoben! G:\Sicherung_von_C\backup.pst [0] Archivtyp: MS Outlook Mailbox --> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][XXXXXXXXXXXXXXXX]2702.Ebay-Rechnung.pdf.zip [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][From:XXXXXXXXXXXXXX]2702.Ebay-Rechnung.pdf.zip [1] Archivtyp: ZIP --> Ebay-Rechnung.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.EbayBill [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! G:\Sicherung_von_C\Outlook.pst [0] Archivtyp: MS Outlook Mailbox --> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][From:kontakt@bestellbeimir.de]1969.Ebay-Rechnung.pdf.zip [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Mailbox_[Folder:Gesendete Objekte][Subject:eBay AG Rechnung vom 26.05.2005][From:kontakt@bestellbeimir.de]1969.Ebay-Rechnung.pdf.zip [1] Archivtyp: ZIP --> Ebay-Rechnung.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.EbayBill [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! Ende des Suchlaufs: Dienstag, 17. März 2009 22:34 Benötigte Zeit: 1:06:15 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 5041 Verzeichnisse wurden überprüft 275257 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 11 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 275244 Dateien ohne Befall 2583 Archive wurden durchsucht 4 Warnungen 1 Hinweise 54441 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
Mein lieber Specht, Avira hat ja gute Arbeit geleistet, also ich würde an deiner stelle nun das durchgehen was a5cl3p1o5 dir anrät :) Dann sehen wir so langsam aber sicher weiter |
Datei advhost.exe empfangen 2009.03.17 22:48:50 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/39 (7.7%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 38 und 54 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.17 - AhnLab-V3 5.0.0.2 2009.03.17 - AntiVir 7.9.0.116 2009.03.17 - Authentium 5.1.0.4 2009.03.17 - Avast 4.8.1335.0 2009.03.17 - AVG 8.0.0.237 2009.03.17 - BitDefender 7.2 2009.03.17 - CAT-QuickHeal 10.00 2009.03.17 - ClamAV 0.94.1 2009.03.17 - Comodo 1062 2009.03.17 - DrWeb 4.44.0.09170 2009.03.17 - eSafe 7.0.17.0 2009.03.17 Suspicious File eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.17 - F-Secure 8.0.14470.0 2009.03.17 - Fortinet 3.117.0.0 2009.03.17 - GData 19 2009.03.17 - Ikarus T3.1.1.45.0 2009.03.17 - K7AntiVirus 7.10.674 2009.03.17 - Kaspersky 7.0.0.125 2009.03.17 - McAfee 5556 2009.03.17 - McAfee+Artemis 5556 2009.03.17 - McAfee-GW-Edition 6.7.6 2009.03.17 - Microsoft 1.4405 2009.03.17 - NOD32 3944 2009.03.17 - Norman 6.00.06 2009.03.17 - nProtect 2009.1.8.0 2009.03.17 - Panda 10.0.0.10 2009.03.17 - PCTools 4.4.2.0 2009.03.17 - Prevx1 V2 2009.03.17 - Rising 21.21.12.00 2009.03.17 - Sophos 4.39.0 2009.03.17 - Sunbelt 3.2.1858.2 2009.03.17 - Symantec 1.4.4.12 2009.03.17 - TheHacker 6.3.3.0.283 2009.03.16 - TrendMicro 8.700.0.1004 2009.03.17 PAK_Generic.001 VBA32 3.12.10.1 2009.03.16 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics) ViRobot 2009.3.17.1652 2009.03.17 - VirusBuster 4.6.5.0 2009.03.17 - weitere Informationen File size: 101912 bytes MD5...: 3974666bafe7b612ab05fc5cd31a8b08 SHA1..: d410ec7450139837b0ad4a41d0e900df13146f80 SHA256: 70c6c51f64946ac00d5a13b80daf8b88661e251316d09546fac94fe03e243e34 SHA512: 71aaa65f76c367d05dad06a6837c0669946f531ba99440390ee0f461e941dae6 7a2ce6024090b63ee52cb85f42778511df7c39d273f22f464df8c61c464127d6 ssdeep: 1536:9VspgBLoT6afiddxH5p4f0S1sgKQd9Qa0xU0lrfoj8JB9TBIlaBiQvpMRhC SD2rY:opvpanxf4fPsgKqCUe0j8lTdwWKRhNc PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xe2c50 timedatestamp.....: 0x49b6ad55 (Tue Mar 10 18:11:33 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xcb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xcc000 0x17000 0x17000 7.92 9bca4d691a641bf68555f0cb2ba3aeb6 .rsrc 0xe3000 0x2000 0x1600 4.24 c712d6786680cd48191615ec42a9f3ea ( 14 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.dll: RegFlushKey > COMCTL32.dll: ImageList_Draw > GDI32.dll: BitBlt > ole32.dll: CoInitialize > OLEAUT32.dll: - > PSAPI.DLL: EnumProcesses > SHELL32.dll: - > SHLWAPI.dll: UrlEscapeW > urlmon.dll: URLDownloadToFileW > USER32.dll: GetDC > USERENV.dll: UnloadUserProfile > WININET.dll: InternetOpenW > WS2_32.dll: - ( 0 exports ) packers (Kaspersky): PE_Patch.UPX, UPX packers (F-Prot): UPX |
Datei adlaunch32.dll empfangen 2009.03.17 22:53:50 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/39 (2.57%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 44 und 63 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.17 - AhnLab-V3 5.0.0.2 2009.03.17 - AntiVir 7.9.0.116 2009.03.17 - Authentium 5.1.0.4 2009.03.17 - Avast 4.8.1335.0 2009.03.17 - AVG 8.0.0.237 2009.03.17 - BitDefender 7.2 2009.03.17 - CAT-QuickHeal 10.00 2009.03.17 - ClamAV 0.94.1 2009.03.17 - Comodo 1062 2009.03.17 - DrWeb 4.44.0.09170 2009.03.17 - eSafe 7.0.17.0 2009.03.17 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.17 - F-Secure 8.0.14470.0 2009.03.17 - Fortinet 3.117.0.0 2009.03.17 - GData 19 2009.03.17 - Ikarus T3.1.1.45.0 2009.03.17 - K7AntiVirus 7.10.674 2009.03.17 - Kaspersky 7.0.0.125 2009.03.17 - McAfee 5556 2009.03.17 - McAfee+Artemis 5556 2009.03.17 - McAfee-GW-Edition 6.7.6 2009.03.17 - Microsoft 1.4405 2009.03.17 - NOD32 3944 2009.03.17 - Norman 6.00.06 2009.03.17 - nProtect 2009.1.8.0 2009.03.17 - Panda 10.0.0.10 2009.03.17 - PCTools 4.4.2.0 2009.03.17 - Prevx1 V2 2009.03.17 - Rising 21.21.12.00 2009.03.17 - Sophos 4.39.0 2009.03.17 - Sunbelt 3.2.1858.2 2009.03.17 - Symantec 1.4.4.12 2009.03.17 - TheHacker 6.3.3.0.283 2009.03.16 - TrendMicro 8.700.0.1004 2009.03.17 - VBA32 3.12.10.1 2009.03.16 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics) ViRobot 2009.3.17.1652 2009.03.17 - VirusBuster 4.6.5.0 2009.03.17 - weitere Informationen File size: 66592 bytes MD5...: 91c70cd1750ebcfbb3f6a828cdcf3040 SHA1..: 49564debb6d954590010552e9b3ba55fdbf010ee SHA256: c22f68374776b6b1ecf7e1929b51320d0d020a4468c415dca3b533db84db89f9 SHA512: b2dfe15c6cdb9c06eb5497f6f01bae65cecf0b3a49e5f12e116242c754cfccbf ad115398b0655e977a4d8e909d116c0a823f3f92c95f39fdf22d3aa40e3d24d8 ssdeep: 768:kHk1QAca+W+3/6ccIUEAxd3uK9yCk6B0+/kw98A6KPV/OulN+azlxVym:iLz PHRUEcYCk1+/kwOAzPEulNNlxVym PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2e13 timedatestamp.....: 0x49b6ad4b (Tue Mar 10 18:11:23 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7b2a 0x8000 6.46 0d2db69b18835dc92303bf52fe9e1ab7 .rdata 0x9000 0x20f2 0x3000 3.84 cd38ff408882edd683043bf9ad75411d .data 0xc000 0x2544 0x1000 1.77 9411bc2ef595295fd709ca0354d01ea2 ad_share 0xf000 0x628 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .reloc 0x10000 0x12b0 0x2000 2.67 88c6ed4b02a7b41f250cd35e68e969ed ( 6 imports ) > KERNEL32.dll: CloseHandle, OpenMutexW, TerminateThread, MultiByteToWideChar, Sleep, SetThreadPriority, CreateThread, DisableThreadLibraryCalls, RaiseException, InitializeCriticalSection, DeleteCriticalSection, SizeofResource, LockResource, LoadResource, FindResourceW, FindResourceExW, GetVersionExW, GetProcAddress, GetCurrentProcess, GetModuleHandleExW, GetLastError, GetPrivateProfileStringW, GetModuleHandleW, FlushFileBuffers, GetSystemInfo, VirtualProtect, GetStringTypeW, GetStringTypeA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, LCMapStringW, LCMapStringA, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadReadPtr, LoadLibraryA, SetFilePointer, WriteFile, UnhandledExceptionFilter, GetEnvironmentStringsW, SetStdHandle, GetVersionExA, EnterCriticalSection, LeaveCriticalSection, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, ExitProcess, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, SetUnhandledExceptionFilter, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, TerminateProcess, VirtualQuery, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte > USER32.dll: RegisterWindowMessageW, FindWindowW, SetWindowsHookExW, SendMessageW, UnhookWindowsHookEx, CallNextHookEx, GetDesktopWindow > ADVAPI32.dll: OpenProcessToken, GetTokenInformation > SHELL32.dll: SHGetFolderPathW, ShellExecuteExW, ShellExecuteW > OLEAUT32.dll: -, - > SHLWAPI.dll: PathAppendW ( 4 exports ) DllCanUnloadNow, DllGetAdvTimestamp, DllRunNonElevated, DllStopThread CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=91c70cd1750ebcfbb3f6a828cdcf3040' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=91c70cd1750ebcfbb3f6a828cdcf3040</a> so die 2. datei ... |
der Eintrag wurde auch gefixt, ich hoffe ich habe nichts vergessen oder übersehen |
mal eine Frage: wie wichtig sind Dir Deine gespeicherten Mails. Kannst Du darauf verzichten? |
*Kurz einmische* Lade die beiden Dateien: Code: C:\WINDOWS\system32\advhost.exeund hier: Submit your sample Gib bei Avira als Namen bitte das hier an: http://www.trojaner-board.de/71128-internetstartseite.html ciao, andreas *wieder weg bin* |
die mails sind schon sehr wichtig, die alte sicherung kann ich aber löschen, das ist kein problem ... |
Ich empfehle Dir eine Neuinstallation. Ich kann nicht einschätzen, was die zwei Dateien genau bewirken. Daher auch der Rat von john.doe, die Dateien einzuschicken. Somit sind wir in ein paar Tagen evtl. schlauer. Lösche die beiden Dateien, nachdem Du sie eingeschickt hast. Markiere sie und drücke Shift+Entf, dann werden sie gleich richtig gelöscht und nicht in den Papierkorb verschoben. Bezüglich Deiner Mails rate ich Dir, auf alle Emails mit Anhängen zu verzichten. Öffne Outlook und sortiere die Emails danach, ob sie Anhänge haben oder nicht. Lösche alle Emails mit Anhängen - leere den "gelöscht" Ordner in Outlook. Exportiere dann die Mails ohne Anhänge und sichere sie. Alle Datenträger müssen auch auf Viren geprüft werden. Sonst kann es sein, dass Dein Computer sich darüber wieder ansteckt... Beachte die oben verlinkte Anleitung. Grüße a5cl3p1o5 |
die Dateien sind beide schreibgeschützt und lassen sich nicht löschen, wäre schlimm wenn ich Neuinst machen müßte. Ich warte noch mal das Feedback von Avira ab bevor ich voreilig neuinst mache dennoch schon mal vorab vielen Dank für die bisherige Hilfe |
Neuinstallation? Das ist ja wohl eine Lachnummer. Ich übernehme. Poste ein aktuelles HJT-Log. ciao, andreas |
Lade Dir Avenger runter, starte es und gebe folgenden Code ein: Code: Files to delete:Grüße a5cl3p1o5 EDIT: na gut: john.doe übernimmt... |
So, habe im abgesicherten Modus gestartet und über die Eingabeaufforderung die beiden Dateien gelöscht. Nach Neustart nun noch Papierkorb geleert. Mache noch einen Neustart und dann noch ein HiJack file |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:58:19, on 18.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE C:\tmp\HiJack\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DLPSP] "c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "G:\www-software\icq\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\www-software\icq\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\www-software\icq\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Dell Printer Status Watcher (DLPWD) - Dell Inc. - c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE O23 - Service: Dell Printer Status Database (DLSDB) - Dell Inc. - c:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5672 bytes Hatte beim letzten mal noch den Eintrag mit adlaunch gefixt. Browser startet momentan ohne lästige Seiten die dann aufgehen. Für heute erst mal Ende für mich ... |
Hole dir bitte noch IE 7 ^^ |
sooo, also nachdem ich heute schon einige Zeit am Rechner am tun bin, läuft wieder alles. Hiermit noch ein dickes Danke für die Unterstützung die vor allem super schnell war ... Ich hoffe der Wurm wird nicht wieder aktiv. DANKE |
ich habe es nicht gefunden wo man das schließen kann, ist (hoffe ich) erledigt. Danke! |
Poste bitte die Links von Avira. Und entlassen bist du erst, wenn ich es sage. :aufsmaul: Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board