Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32:Agent-UBX(Trj) (https://www.trojaner-board.de/51325-win32-agent-ubx-trj.html)

Urmel 03.04.2008 22:02
Win32:Agent-UBX(Trj)
 
Liste der Anhänge anzeigen (Anzahl: 1)
hallo!

avast hat heute beim starten des rechners folgenden trojaner gefunden win32:agent-ubx(trj).

dateiname usw. siehe bild.

den trojaner konnte ich in den virus container verschieben.

ich konnte bis jetzt noch keine einschränkungen meines systems feststellen.

wie soll ich am besten mit dem trojaner weiter verfahren?
was hat er in meinem system angestellt?

im www oder in der suchfunktion habe ich keine beiträge zu dem trojaner gefunden. (zumindest auf deutsch)


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:27, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Anti-Dialer\a2service.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Download\virensucher\HiJackThis202.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garnelenforum.de/board/cmps_index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10720 bytes
Code:
iclean log 03.04.2008 22:53:11

Windows XP SP2, Using advanced Kernel functions

Processes
---------
572 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
620 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
652 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
696 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
708 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
880 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
900 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1004 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1120 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1208 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1232 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
1344 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1472 - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (Signed)
1572 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1632 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1764 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1920 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
116 - C:\Programme\Java\jre1.6.0_05\bin\jusched.exe - Java(TM) Platform SE binary (Signed)
(Hidden) 128 - C:\Acer\Empowering Technology\eRecovery\Monitor.exe - Monitor
216 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
432 - C:\WINDOWS\AGRSMMSG.exe - SoftModem Messaging Applet
500 - C:\Programme\QuickTime\qttask.exe - C:\Programme\QuickTime\qttask.exe
352 - AspireService.e - AspireService.e
608 - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE - EPSON Status Monitor 3
952 - C:\Programme\ICQLite\ICQLite.exe - ICQLite (Signed)
1068 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1240 - C:\Programme\a-squared Anti-Dialer\a2adguard.exe - a-squared Anti-Dialer Guard
1284 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
1216 - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe - Catalyst Control Center: Monitoring program
1324 - C:\Programme\a-squared Anti-Dialer\a2service.exe - a-squared Service (Signed)
1332 - GoogleToolbarNo - GoogleToolbarNo
1540 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
1676 - C:\WINDOWS\system32\PnkBstrA.exe - C:\WINDOWS\system32\PnkBstrA.exe (Signed)
2016 - C:\WINDOWS\system32\PnkBstrB.exe - C:\WINDOWS\system32\PnkBstrB.exe (Signed)
2072 - C:\Programme\Electronic Arts\EADM\Core.exe - EA Download Manager
2144 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2708 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2788 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3328 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3896 - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe - Catalyst Control Centre: Host application
992 - C:\Programme\Alwil Software\Avast4\ashSimpl.exe - Virus scanner (Signed)
2240 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
3164 - C:\Programme\Alwil Software\Avast4\ashChest.exe - aswChestInterface application (Signed)
1672 - D:\Download\virensucher\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared anti-dialer\a2service.exe=a2AntiDialer
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\ati2evxx.exe=Ati HotKey Poller
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
c:\windows\system32\pnkbstra.exe=PnkBstrA
c:\windows\system32\pnkbstrb.exe=PnkBstrB
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
c:\programme\gemeinsame dateien\symantec shared\ccpd-lc\symlcsvc.exe=Symantec Core LC
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: EA Core="c:\programme\electronic arts\eadm\core.exe" -silent
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKCU\Run: swg=c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe
000=HKLM\Run: AGRSMMSG=c:\windows\agrsmmsg.exe
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: AspireService=c:\programme\acer\acer emode management\aspireservice.exe
000=HKLM\Run: a-squared="c:\programme\a-squared anti-dialer\a2adguard.exe"
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: EPSON Stylus DX4200 Series=c:\windows\system32\spool\drivers\w32x86\3\e_fatiaee.exe /p26 "epson stylus dx4200 series" /o6 "usb001" /m "stylus dx4200"
000=HKLM\Run: eRecoveryService=c:\acer\empowering technology\erecovery\monitor.exe
000=HKLM\Run: High Definition Audio Property Page Shortcut=c:\windows\system32\hdashcut.exe
000=HKLM\Run: ICQ Lite="c:\programme\icqlite\icqlite.exe" -minimize
000=HKLM\Run: IMJPMIG8.1="c:\windows\ime\imjp8_1\imjpmig.exe" /spoil /remadvdef /migration32
000=HKLM\Run: LaunchApp=alaunch
000=HKLM\Run: MSPY2002=c:\windows\system32\ime\pintlgnt\imscinst.exe
000=HKLM\Run: ntiMUI=c:\programme\newtech infosystems\nti cd & dvd-maker 7\ntimui.exe
000=HKLM\Run: PHIME2002A=c:\windows\system32\ime\tintlgnt\tintsetp.exe /imename
000=HKLM\Run: PHIME2002ASync=c:\windows\system32\ime\tintlgnt\tintsetp.exe /sync
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: StartCCC="c:\programme\ati technologies\ati.ace\core-static\clistart.exe"
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre1.6.0_05\bin\jusched.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\Acer\Acer eConsole\eConsole.exe=
001=Firewall bypass: C:\Programme\Acer\Acer eConsole\MediaServerService.exe=
001=Firewall bypass: C:\Programme\Acer\Acer eConsole\MediaSync.exe=
001=Firewall bypass: C:\Programme\EA GAMES\Battlefield 2\BF2.exe=c:\programme\ea games\battlefield 2\bf2.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Battlefield 2142 Server\BF2142VoipServer_w32ded.exe=c:\programme\electronic arts\battlefield 2142 server\bf2142voipserver_w32ded.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Battlefield 2142\BF2142.exe=c:\programme\electronic arts\battlefield 2142\bf2142.exe
001=Firewall bypass: C:\Programme\FlashGet\flashget.exe=c:\programme\flashget\flashget.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
001=Firewall bypass: C:\Programme\Skype\Phone\Skype.exe=c:\programme\skype\phone\skype.exe
001=Firewall bypass: C:\Programme\Ubisoft\DIE SIEDLER - Aufstieg eines Königreichs\base\bin\Settlers6.exe=c:\programme\ubisoft\die siedler - aufstieg eines königreichs\base\bin\settlers6.exe
001=Firewall bypass: C:\Programme\Winamp Remote\bin\Orb.exe=c:\programme\winamp remote\bin\orb.exe
001=Firewall bypass: C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe=c:\programme\winamp remote\bin\orbstreamerclient.exe
001=Firewall bypass: C:\Programme\Winamp Remote\bin\OrbTray.exe=c:\programme\winamp remote\bin\orbtray.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrA.exe=c:\windows\system32\pnkbstra.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrB.exe=c:\windows\system32\pnkbstrb.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {22BF413B-C6D2-4d91-82A9-A0F997BA588C}=c:\progra~1\skype\phone\ieplugin\skypei~1.dll (Skype add-on (mastermind))
030=BHO: {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}=c:\programme\flashget\jccatch.dll (FGCatchUrl)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre1.6.0_05\bin\ssv.dll (SSVHelper Class)
030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar4.dll (Google Toolbar Helper)
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.0.301.7164\swg.dll (Google Toolbar Notifier BHO)
030=BHO: {D187A56B-A33F-4CBE-9D77-459FC0BAE012}=c:\programme\burn4free toolbar\v3.3.0.1\burn4free_toolbar.dll (Burn4Free Toolbar Helper)
030=BHO: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}=c:\programme\epson\epson web-to-page\epson web-to-page.dll (EpsonToolBandKicker Class)
030=BHO: {F156768E-81EF-470C-9057-481BA8380DBA}=c:\programme\flashget\getflash.dll (FlashGet GetFlash Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar4.dll
031=Toolbar: {4F11ACBB-393F-4C86-A214-FF3D0D155CC3}=c:\programme\burn4free toolbar\v3.3.0.1\burn4free_toolbar.dll
031=Toolbar: {EE5D279F-081B-4404-994D-C6B60AAEBA6D}=c:\programme\epson\epson web-to-page\epson web-to-page.dll
031=Toolbar: {F2CF5485-4E02-4F68-819C-B92DE9277049}=c:\windows\system32\ieframe.dll
031=Toolbar: ITBar7Layout=(null)
031=Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar4.dll
031=Toolbar: {4F11ACBB-393F-4C86-A214-FF3D0D155CC3}=c:\programme\burn4free toolbar\v3.3.0.1\burn4free_toolbar.dll
031=Toolbar: {EE5D279F-081B-4404-994D-C6B60AAEBA6D}=c:\programme\epson\epson web-to-page\epson web-to-page.dll
ich hoffe keine angaben vergessen zu haben.

über eure hilfe freut sich urmel :)

Urmel 04.04.2008 04:14
guten morgen,

ich hab jetzt escan über die nacht laufen lassen und der hat folgendes ausgespuckt.

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL
   
eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 4/3/2008 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.
 System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
 Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 D:\Download\cpu-z-144.1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Gescannte Dateien: 168067
 Gefundene Viren: 6
 Anzahl der desinfizierten Dateien: 0
 Umbenannte Dateien: 0
 Anzahl der gelöschten Dateien: 0
 Anzahl Fehler: 14
 Dauer des Scans bisher: 01:28:08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Deaktiviert
 Überprüfung aller Festplatten :Aktiviert
 
Batchstart:  5:09:36,51
Batchende:  5:09:44,62

virus 04.04.2008 16:21
Hi Urmel

Bitte lass die gefundenen dateien löschen:daumenhoc
Nun bitte Malwarebytes laufen lassen (link in Signatur) und den Report posten.
Danch bitte ComboFix anwenden vorher aber CCleaner laufen lassen. Report von ComboFix bitte posten.

Urmel 05.04.2008 00:23
hi,

ich hab vor deiner nachricht, selber nochmal gegoogelt und raus gefunden das mein trojaner vom FlashGet 1.9 verbreitet Trojaner ist.

darauf hin hab ich das programm gelöscht in der auch die nachfolgende datei enthalten war (inapp6.exe)
>>>>>>>>Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe<<<<<<<<


>>>>>>>>Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll<<<<<<<<
hat avast erkannt und in den kontainer verfrachtet. ich habs dann gelöscht.

die datei (msfont.dll) im virenkontainer von "avast" hab ich gelöscht, ist aber irgendwie wieder aufgetaucht und läßt sich jetzt nicht mehr löschen.

nach dem löschvorgang hab ich escan im abgesicheten modus nochmal laufen lassen. auswertung ist unten aufgeführt.
als ich dann in den normalen modus gewechselt hab, kamen fehlermeldungen das aktiv x beendet wurde weil ein programm(name wurde nicht angezeigt) es jetzt verwendet, genauso war java betroffen. seit dem starten die programme langsamer oder garnicht mehr.

so dann hab ich deine liste abgearbeitet.

malwarebyet hat einwandfrei funktioniert, nur combofix lief nur im abgesicherten modus, denn im normalmodus ist es einfach stehen geblieben.


Code:
Malwarebytes' Anti-Malware 1.10
Datenbank Version: 589

Scan Art: Komplett Scan (C:\|D:\|G:\|H:\|I:\|J:\|)
Objekte gescannt: 154738
Scan Dauer: 1 hour(s), 6 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Code:
ComboFix 08-04-03.5 - Administrator 2008-04-05  0:14:42.2 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1278 [GMT 2:00]
ausgeführt von:: D:\Download\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((  Dateien erstellt von 2008-03-04 bis 2008-04-04  ))))))))))))))))))))))))))))))
.

2008-04-04 19:40 . 2008-04-04 19:40        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-04-04 19:40 . 2008-04-04 19:40        <DIR>        d--------        C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-04 19:40        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-04 19:38 . 2008-04-04 19:38        <DIR>        d--------        C:\ComboFix(2)
2008-04-04 15:18 . 2008-04-04 15:18        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-04-04 15:03 . 2008-04-04 15:04        25,600        --a------        C:\WINDOWS\system32\msfont.dll
2008-04-03 21:42 . 2008-03-29 19:31        75,856        --a------        C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-03 21:42 . 2008-03-29 19:35        20,560        --a------        C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-03-29 03:21 . 2008-03-29 03:21        <DIR>        d--------        C:\Programme\PC Inspector File Recovery
2008-03-29 03:21 . 2002-02-18 19:40        6,200        --a------        C:\WINDOWS\system32\INT13EXT.VXD
2008-03-11 23:27 . 2008-03-11 23:27        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-11 23:26 . 2008-03-11 23:26        0        --a------        C:\WINDOWS\ativpsrm.bin
2008-03-11 23:21 . 2008-02-25 22:05        593,920        ---------        C:\WINDOWS\system32\ati2sgag.exe
2008-03-11 22:22 . 2007-12-04 16:44        23,600        --a------        C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-03-10 00:57 . 2008-03-10 00:56        691,545        --a------        C:\WINDOWS\unins000.exe
2008-03-10 00:57 . 2008-03-10 00:57        2,553        --a------        C:\WINDOWS\unins000.dat

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 12:34        ---------        d-----w        C:\Programme\a-squared Anti-Dialer
2008-04-02 12:16        22,328        ----a-w        C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-02 12:15        107,832        ----a-w        C:\WINDOWS\system32\PnkBstrB.exe
2008-03-29 17:45        1,146,232        ----a-w        C:\WINDOWS\system32\aswBoot.exe
2008-03-29 17:35        94,544        ----a-w        C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-29 17:29        23,152        ----a-w        C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-29 17:27        42,912        ----a-w        C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-29 17:26        26,944        ----a-w        C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-29 17:23        95,608        ----a-w        C:\WINDOWS\system32\AvastSS.scr
2008-03-29 01:21        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-03-29 01:06        ---------        d-----w        C:\Dokumente und Einstellungen\****\Anwendungsdaten\ATI
2008-03-28 22:12        ---------        d-----w        C:\Dokumente und Einstellungen\****\Anwendungsdaten\teamspeak2
2008-03-28 12:33        ---------        d-----w        C:\Programme\Winamp
2008-03-11 21:23        ---------        d-----w        C:\Programme\ATI Technologies
2008-03-09 23:04        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-09 23:03        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-03-05 07:29        ---------        d-----w        C:\Programme\Java
2008-03-03 03:12        ---------        d-----w        C:\Programme\Lavalys
2008-03-03 01:14        ---------        d-----w        C:\Programme\Driver Cleaner Pro
2008-02-29 00:24        ---------        d-----w        C:\Dokumente und Einstellungen\****\Anwendungsdaten\SystemXXL
2008-02-26 05:51        2,863,616        ----a-w        C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-02-26 05:51        2,863,616        ----a-w        C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-02-26 03:12        372,736        ----a-w        C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10        307,200        ----a-w        C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10        299,520        ----a-w        C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:10        299,520        ----a-w        C:\WINDOWS\system32\ati2dvag(2)(2).dll
2008-02-26 03:02        172,032        ----a-w        C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02        126,976        ----a-w        C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01        43,520        ----a-w        C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01        26,112        ----a-w        C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01        126,976        ----a-w        C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:01        126,976        ----a-w        C:\WINDOWS\system32\ati2evxx(2)(2).dll
2008-02-26 03:00        520,192        ----a-w        C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59        9,797,632        ----a-w        C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58        53,248        ----a-w        C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49        3,176,480        ----a-w        C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:49        3,176,480        ----a-w        C:\WINDOWS\system32\ati3duag(2)(2).dll
2008-02-26 02:41        1,755,264        ----a-w        C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:41        1,755,264        ----a-w        C:\WINDOWS\system32\ativvaxx(2)(2).dll
2008-02-26 02:29        46,080        ----a-w        C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25        393,216        ----a-w        C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:25        393,216        ----a-w        C:\WINDOWS\system32\atikvmag(2)(2).dll
2008-02-26 02:23        17,408        ----a-w        C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:22        49,152        ----a-w        C:\WINDOWS\system32\drivers\ati2erec.dll
2008-02-26 02:19        167,936        ----a-w        C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:19        167,936        ----a-w        C:\WINDOWS\system32\atiok3x2(2)(2).dll
2008-02-26 02:16        520,192        ----a-w        C:\WINDOWS\system32\ati2cqag.dll
2008-02-26 02:16        520,192        ----a-w        C:\WINDOWS\system32\ati2cqag(2)(2).dll
2008-02-12 10:32        ---------        d-----w        C:\Programme\PartyGaming
2008-01-11 05:32        44,544        ----a-w        C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-09-29 22:40        22,328        ----a-w        C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2006-10-07 17:50        0        ----a-w        C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}]
2007-12-31 18:58        806912        --a------        C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2007-12-31 18:58 806912]

[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 06:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 06:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00 397312]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 01:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-30 04:41 98304]
"AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07 114688]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"a-squared"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.lhacm"= lhacm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-09-21 13:48 425984 C:\Programme\Acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2005-11-30 04:40 26112 C:\Programme\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 16:00 25388584 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Acer Media Server"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142 Server\\BF2142VoipServer_w32ded.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 08:00]
S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
S2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2008-04-03 22:56]
S2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-11-11 12:29]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46]

*Newly Created Service* - INT15.SYS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 00:16:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
Zeit der Fertigstellung: 2008-04-05  0:16:56
ComboFix-quarantined-files.txt  2008-04-04 22:16:54
              24 Verzeichnis(se), 77,125,013,504 Bytes frei
              26 Verzeichnis(se), 77,112,594,432 Bytes frei
.
2008-03-29 01:11:25        --- E O F ---



Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK
   
eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 4/4/2008 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.
 System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
 Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0039243.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 D:\Download\cpu-z-144.1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Gescannte Dateien: 168310
 Gefundene Viren: 10
 Anzahl der desinfizierten Dateien: 0
 Umbenannte Dateien: 0
 Anzahl der gelöschten Dateien: 0
 Anzahl Fehler: 13
 Dauer des Scans bisher: 01:28:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Deaktiviert
 Überprüfung aller Festplatten :Aktiviert
 
Batchstart: 23:54:48,34
Batchende: 23:55:22,68

virus 05.04.2008 11:13
morgen urmel

Bitte lösche nicht einfach dateien von denen du nicht weisst was sie sind:headbang: löschen ist nicht = löschen:)

C:\system volume information........ kannst du einfach mit dem deaktivieren der Systemwiederherstellung wegbringen:daumenhoc
Dafür gehst du mit rechtsklick auf den Arbeitsplatz wählst dort Eigenschaften und dann Systemwiederherstellung deaktivieren das häcklein setzen neustarten und das häcklein wieder herausnehmen.

Bitte folgende dateien hier oder hier online scannen lassen(report bitte posten):

C:\WINDOWS\system32\drivers\aswSP.sys
C:\WINDOWS\system32\drivers\aswFsBlk.sys
C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

eScan hat diese datein ja als Malware erkannt also lösche diese bitte:daumenhoc

Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0039243.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Bitte wende auch noch CCleaner an:daumenhoc

Urmel 05.04.2008 11:38
Zitat:
Bitte lösche nicht einfach dateien von denen du nicht weisst was sie sind löschen ist nicht = löschen
oh, naja ich hab nur befolgt was du mir geschrieben hast. siehe hier
Zitat:
Bitte lass die gefundenen dateien löschen
kann sein das ich das falsch verstanden hab.:)

so dann mach ich mich mal gleich an die anderen aufgaben.

gruß

virus 05.04.2008 11:40
sry mein Fehler:headbang:

Urmel 05.04.2008 12:32
ist ja nichts passiert.:)


C:\WINDOWS\system32\drivers\aswFsBlk.sys
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.4.4.1        2008.04.04        -
AntiVir        7.6.0.81        2008.04.04        -
Authentium        4.93.8        2008.04.05        -
Avast        4.7.1098.0        2008.04.04        -
AVG        7.5.0.516        2008.04.05        -
BitDefender        7.2        2008.04.05        -
CAT-QuickHeal        9.50        2008.04.05        -
ClamAV        0.92.1        2008.04.05        -
DrWeb        4.44.0.09170        2008.04.05        -
eSafe        7.0.15.0        2008.04.01        -
eTrust-Vet        31.3.5672        2008.04.04        -
Ewido        4.0        2008.04.05        -
F-Prot        4.4.2.54        2008.04.05        -
F-Secure        6.70.13260.0        2008.04.05        -
FileAdvisor        1        2008.04.05        -
Fortinet        3.14.0.0        2008.04.05        -
Ikarus        T3.1.1.20        2008.04.05        -
Kaspersky        7.0.0.125        2008.04.05        -
McAfee        5267        2008.04.04        -
Microsoft        1.3408        2008.04.05        -
NOD32v2        3004        2008.04.05        -
Norman        5.80.02        2008.04.04        -
Panda        9.0.0.4        2008.04.04        -
Prevx1        V2        2008.04.05        -
Rising        20.38.60.00        2008.04.03        -
Sophos        4.28.0        2008.04.05        -
Sunbelt        3.0.1032.0        2008.04.05        -
Symantec        10        2008.04.05        -
TheHacker        6.2.92.265        2008.04.04        -
VBA32        3.12.6.3        2008.03.25        -
VirusBuster        4.3.26:9        2008.04.04        -
Webwasher-Gateway        6.6.2        2008.04.04        -
weitere Informationen
File size: 20560 bytes
MD5...: 838255d6ef1ca0a4f6b076f6d3425850
SHA1..: 3ad2d88fb8b9613ffe2d3b1702ce347aa28270d2
SHA256: ecac78a92ce6b8217a46b9c5942928b69d21f8194d3bf8fdfe98e7644e69dabb
SHA512: ad7e743d208f01625fea341735fb13c846ade71e7409b2d9d3c01a7178da1c40
9d5dc64763fc760abfe37d14d751996224baef2334032811237949f66ab06b16
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15236
timedatestamp.....: 0x47ed2e12 (Fri Mar 28 17:42:42 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x92c 0xa00 5.88 3d271a0b041b181504f8d37dff9e3dc9
.rdata 0x2000 0x444 0x600 3.43 1062f3bc29e5338745953341210c68a5
.data 0x3000 0x3c4 0x400 3.32 9f450fa8f3ca40f199bcb2c4a8b3db3f
PAGE 0x4000 0xa76 0xc00 5.90 7ea255a6686d5742f8016fa223cc7fda
INIT 0x5000 0x88a 0xa00 5.12 9dc13f8664d6aa8df355f1f434491855
.rsrc 0x6000 0x3a0 0x400 3.12 9c2d8d62270aa1f46c3a8e6d5dd277c7
.reloc 0x7000 0x398 0x400 5.04 2fdcc4377a076802df288983f99ec708

( 2 imports )
> ntoskrnl.exe: memcpy, strncmp, ZwOpenKey, RtlAppendUnicodeToString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObQueryNameString, KeTickCount, RtlUnwind, memmove, RtlFreeUnicodeString, wcschr, RtlAppendUnicodeStringToString, IoThreadToProcess, ExAllocatePoolWithTag, ExFreePoolWithTag, memset, RtlInitUnicodeString, IoGetDeviceObjectPointer, KeInitializeEvent, IoBuildDeviceIoControlRequest, ObfDereferenceObject, IofCallDriver, KeWaitForSingleObject, IoGetCurrentProcess, PsSetCreateProcessNotifyRoutine, ZwClose, KeBugCheckEx
> FLTMGR.SYS: FltGetFileNameInformation, FltParseFileNameInformation, FltReleaseFileNameInformation, FltGetStreamHandleContext, FltSetCallbackDataDirty, FltSupportsStreamHandleContexts, FltAllocateContext, FltSetStreamHandleContext, FltReleaseContext, FltGetRequestorProcessId, FltRegisterFilter, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltStartFiltering, FltCloseClientPort, FltUnregisterFilter, FltGetDiskDeviceObject

( 0 exports )
packers: PE_Patch
C:\WINDOWS\system32\drivers\aswSP.sys
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.4.4.1        2008.04.04        -
AntiVir        7.6.0.81        2008.04.04        -
Authentium        4.93.8        2008.04.05        -
Avast        4.7.1098.0        2008.04.04        -
AVG        7.5.0.516        2008.04.05        -
BitDefender        7.2        2008.04.05        -
CAT-QuickHeal        9.50        2008.04.05        -
ClamAV        0.92.1        2008.04.05        -
DrWeb        4.44.0.09170        2008.04.05        -
eSafe        7.0.15.0        2008.04.01        -
eTrust-Vet        31.3.5672        2008.04.04        -
Ewido        4.0        2008.04.05        -
F-Prot        4.4.2.54        2008.04.05        -
F-Secure        6.70.13260.0        2008.04.05        -
FileAdvisor        1        2008.04.05        -
Fortinet        3.14.0.0        2008.04.05        -
Ikarus        T3.1.1.20        2008.04.05        -
Kaspersky        7.0.0.125        2008.04.05        -
McAfee        5267        2008.04.04        -
Microsoft        1.3408        2008.04.05        -
NOD32v2        3004        2008.04.05        -
Norman        5.80.02        2008.04.04        -
Panda        9.0.0.4        2008.04.04        -
Prevx1        V2        2008.04.05        -
Rising        20.38.60.00        2008.04.03        -
Sophos        4.28.0        2008.04.05        -
Sunbelt        3.0.1032.0        2008.04.05        -
Symantec        10        2008.04.05        -
TheHacker        6.2.92.265        2008.04.04        -
VBA32        3.12.6.3        2008.03.25        -
VirusBuster        4.3.26:9        2008.04.04        -
Webwasher-Gateway        6.6.2        2008.04.04        -
weitere Informationen
File size: 75856 bytes
MD5...: 90dc7eda705abccb8db0d688fa415207
SHA1..: 917c51c51012695f296b1e0017907debac149b95
SHA256: 3911532e79af15b916e1ce2073628d786e2097860afc9bab06306ec661add682
SHA512: 1710d0b79b0cdb0c9b95b1ee81eeae901c9cc51bba1b978c760f5b3409eb415e
618cf8f4a9cc8ea5288bb45ab8e6fbe5094179db3556890e1ec9174786f320b4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x23005
timedatestamp.....: 0x47ed2d83 (Fri Mar 28 17:40:19 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xdb74 0xdc00 6.56 baaeaaad6572c3187f617fbd9a4c7167
.rdata 0xf000 0xc44 0xe00 4.32 d8c5d8c4551a4bb552dcb7eac2a7e0c3
.data 0x10000 0x182c 0x200 3.50 7dc1e08346631e25c3709b4c77f72fe0
.crtdata 0x12000 0x30 0x200 0.49 9509f18c0b93a0ee1856429e76811dfa
INIT 0x13000 0x944 0xa00 5.46 105ab375b8219f0ca9e1dddc58addfbc
.rsrc 0x14000 0x378 0x400 3.00 44876fd2b2e021e0dfc9933b66389a69
.reloc 0x15000 0xc4e 0xe00 5.79 fe88a8f354c0071d8a972095d8d39e2e

( 1 imports )
> ntoskrnl.exe: ExFreePoolWithTag, ExAllocatePool, memcpy, MmMapLockedPages, IoDeleteDevice, RtlInitUnicodeString, strncmp, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, IoCreateSymbolicLink, IoCreateDevice, _snwprintf, PsGetVersion, PsLookupProcessByProcessId, KeDetachProcess, ObReferenceObjectByHandle, IofCompleteRequest, _wcsnicmp, ZwClose, IoGetBaseFileSystemDeviceObject, ZwOpenFile, wcsncpy, ZwReadFile, ZwQueryInformationFile, ZwWriteFile, strncpy, NtClose, ObfReferenceObject, ZwSetInformationFile, ZwDeleteFile, KeWaitForSingleObject, IofCallDriver, RtlCompareUnicodeString, IoBuildSynchronousFsdRequest, KeClearEvent, KeInitializeEvent, IoGetDeviceObjectPointer, memset, IoGetCurrentProcess, _stricmp, ZwQuerySystemInformation, MmGetSystemRoutineAddress, KeDelayExecutionThread, RtlVolumeDeviceToDosName, wcschr, MmIsAddressValid, ExAllocatePoolWithTag, KeReleaseMutex, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, DbgPrint, PsGetCurrentProcessId, KeQuerySystemTime, _wcsicmp, KeSetEvent, KeInitializeMutex, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, KeServiceDescriptorTable, NtBuildNumber, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, IoThreadToProcess, ZwFreeVirtualMemory, ZwAllocateVirtualMemory, ZwCreateFile, ZwDuplicateObject, ProbeForRead, ExGetPreviousMode, RtlEqualUnicodeString, RtlUpcaseUnicodeChar, ZwQueryValueKey, ZwOpenKey, RtlAppendUnicodeToString, RtlCopyUnicodeString, ZwQueryInformationProcess, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, _purecall, PsThreadType, ObReferenceObjectByPointer, KeUnstackDetachProcess, KeStackAttachProcess, PsProcessType, _allmul, _aulldiv, KeTickCount, KeBugCheckEx, RtlUnwind, wcsncmp, KeAttachProcess

( 0 exports )
C:\WINDOWS\system32\aswBoot.exe
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.4.4.1        2008.04.04        -
AntiVir        7.6.0.81        2008.04.04        -
Authentium        4.93.8        2008.04.05        -
Avast        4.7.1098.0        2008.04.04        -
AVG        7.5.0.516        2008.04.05        -
BitDefender        7.2        2008.04.05        -
CAT-QuickHeal        9.50        2008.04.05        -
ClamAV        0.92.1        2008.04.05        -
DrWeb        4.44.0.09170        2008.04.05        -
eSafe        7.0.15.0        2008.04.01        -
eTrust-Vet        31.3.5672        2008.04.04        -
Ewido        4.0        2008.04.05        -
F-Prot        4.4.2.54        2008.04.05        -
F-Secure        6.70.13260.0        2008.04.05        -
FileAdvisor        1        2008.04.05        -
Fortinet        3.14.0.0        2008.04.05        -
Ikarus        T3.1.1.20        2008.04.05        -
Kaspersky        7.0.0.125        2008.04.05        -
McAfee        5267        2008.04.04        -
Microsoft        1.3408        2008.04.05        -
NOD32v2        3004        2008.04.05        -
Norman        5.80.02        2008.04.04        -
Panda        9.0.0.4        2008.04.04        -
Prevx1        V2        2008.04.05        -
Rising        20.38.60.00        2008.04.03        -
Sophos        4.28.0        2008.04.05        -
Sunbelt        3.0.1032.0        2008.04.05        -
Symantec        10        2008.04.05        -
TheHacker        6.2.92.265        2008.04.04        -
VBA32        3.12.6.3        2008.03.25        -
VirusBuster        4.3.26:9        2008.04.04        -
Webwasher-Gateway        6.6.2        2008.04.04        -
weitere Informationen
File size: 1146232 bytes
MD5...: 4108ed9980f581f502c1d72c0d7f77da
SHA1..: b4894fa11ebddb41ab5c61f5aba731a07fa17efe
SHA256: 768fafa656e91c7c6896f37f9a4470f4a9ea55291f886d6e2c8ae958f6894aab
SHA512: b3f0295c4a9f12c7d7800e74990ce50cf2903873fece68c1c50fbd1dccbc6e44
4e3f393a4e25bb6262d7d2aa9b0843141963dcecc1efafc86fd15950182d6d14
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1034420
timedatestamp.....: 0x47ed9274 (Sat Mar 29 00:51:00 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10f548 0x10f600 6.52 9b64f55c3b3d835a2af8495089050c21
.data 0x111000 0x2a48 0xc00 2.29 0b2716d4d3a27381e4431a1f3fcc7a6b
.rsrc 0x114000 0x368 0x400 2.93 8d192e227d9c5fe80fe21258bf7adb35
.reloc 0x115000 0x5cf0 0x5e00 5.72 597e66342fa67ef53779b341e56b6f8f

( 1 imports )
> ntdll.dll: memmove, wcslen, memchr, wcsncmp, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitUnicodeString, RtlFreeUnicodeString, NtDisplayString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, NtClose, NtQueryValueKey, NtOpenKey, _wcsnicmp, wcschr, wcsrchr, RtlNtStatusToDosError, RtlLeaveCriticalSection, NtWriteFile, RtlEnterCriticalSection, NtCreateFile, wcscspn, NtFreeVirtualMemory, NtTerminateThread, NtWaitForSingleObject, NtSetEvent, sprintf, NtQuerySystemInformation, LdrUnloadDll, swprintf, _snwprintf, NtQuerySymbolicLinkObject, NtOpenSymbolicLinkObject, LdrAccessResource, LdrFindResource_U, RtlFindMessage, NtCreateThread, NtGetContextThread, NtAllocateVirtualMemory, NtCreateEvent, RtlTimeToTimeFields, RtlSystemTimeToLocalTime, RtlSecondsSince1970ToTime, towupper, wcscpy, LdrLoadDll, NtDelayExecution, NtQuerySystemTime, _wtoi, _wcsicmp, _ftol, NtSetInformationThread, NtSetInformationProcess, NtFlushBuffersFile, NtInitializeRegistry, NtTerminateProcess, NtShutdownSystem, RtlInitializeCriticalSection, RtlRandom, _strlwr, _strcmpi, _strnicmp, _strupr, strchr, strrchr, strstr, iswctype, wcsstr, RtlTimeToSecondsSince1970, RtlDeleteCriticalSection, NtResetEvent, NtCancelIoFile, NtWaitForMultipleObjects, NtReadFile, RtlOemStringToUnicodeString, NlsMbOemCodePageTag, _allmul, _chkstk, wcscmp, _aulldiv, RtlUnwind, RtlCreateHeap, RtlAllocateHeap, RtlReAllocateHeap, RtlFreeHeap, wcsncpy, _wcslwr, _aullrem, _alldiv, NtSetInformationFile, NtQueryInformationFile, NtDuplicateObject, NtQueryDirectoryFile, NtQueryFullAttributesFile, NtQueryAttributesFile, isalpha, NtOpenDirectoryObject, NtFsControlFile, NtQueryInformationThread, NtQueryInformationProcess, NtMapViewOfSection, NtCreateSection, NtUnmapViewOfSection, NtOpenSection, RtlUnicodeStringToOemString, LdrGetProcedureAddress, NtAdjustPrivilegesToken, RtlImpersonateSelf, NtOpenThreadToken, NtOpenProcessToken, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, NtCreateDirectoryObject, NtPulseEvent, NtProtectVirtualMemory, NtReadVirtualMemory, NtOpenProcess, _wcsupr, wcscat, _ultow, NtDeleteValueKey, NtFlushKey, NtSetValueKey, NtQueryPerformanceCounter, wcstoul, _itow, _allshl, strncpy, qsort, _wtoi64, strncmp, _i64tow, _aullshr, _allrem, tolower, isupper, islower, toupper, isdigit, _stricmp, strpbrk, atoi, _allshr, wcspbrk, NtDeviceIoControlFile, NtOpenFile, strtoul, NtResumeThread, NtSuspendThread, towlower, _alloca_probe

( 56 exports )
__0CDir@UFSD@@QAE@PAVCMemoryManager@1@PAVCStrings@1@@Z, __0CFSObject@UFSD@@QAE@PAVCMemoryManager@1@PAVCStrings@1@@Z, __0CFile@UFSD@@QAE@PAVCMemoryManager@1@PAVCStrings@1@@Z, __0CFileSystem@UFSD@@QAE@PAVCMemoryManager@1@PAVCStrings@1@PAVCTime@1@@Z, __0CMemBased@UFSD@@QAE@PAVCMemoryManager@1@@Z, __0CUFSD@UFSD@@QAE@PAVCMemoryManager@1@@Z, __1CDir@UFSD@@UAE@XZ, __1CFSObject@UFSD@@UAE@XZ, __1CFile@UFSD@@UAE@XZ, __1CMemBased@UFSD@@UAE@XZ, __2CMemBased@UFSD@@SAPAXIPAVCMemoryManager@1@@Z, __2CMemBased@UFSD@@SAPAXIPAX@Z, __3CMemBased@UFSD@@SAXPAX@Z, ___7CMemBased@UFSD@@6B@, ___7CUFSD@UFSD@@6B@, ___VCMemBased@UFSD@@SAXPAX@Z, _AllFClosed@CUFSD@UFSD@@QBE_NXZ, _DecReffCount@CFSObject@UFSD@@QAEXI@Z, _GetCookie@CFSObject@UFSD@@QBEIXZ, _GetCurrentDir@CFileSystem@UFSD@@QBEPAVCDir@2@XZ, _GetFileSystem@CUFSD@UFSD@@QBEPAVCFileSystem@2@XZ, _GetFirstOpenedDir@CDir@UFSD@@QBEPAV12@XZ, _GetFirstOpenedFile@CDir@UFSD@@QBEPAVCFile@2@XZ, _GetMemoryManager@CMemBased@UFSD@@QBEPAVCMemoryManager@2@XZ, _GetNext@CFSObject@UFSD@@QBEPAV12@XZ, _GetNext@CFile@UFSD@@QBEPAV12@XZ, _GetNextDir@CDir@UFSD@@QBEPAV12@XZ, _GetObjectType@CFSObject@UFSD@@QBE_AW4FSObjectType@12@XZ, _GetOpenFirstFound@CDir@UFSD@@QAE_AW4Open1stFound@2@XZ, _GetOpenFirstFound@CUFSD@UFSD@@QBE_AW4Open1stFound@2@XZ, _GetOptions@CFileSystem@UFSD@@QBEIXZ, _GetParent@CFSObject@UFSD@@QBEPAVCDir@2@XZ, _GetPrev@CFSObject@UFSD@@QBEPAV12@XZ, _GetPrev@CFile@UFSD@@QBEPAV12@XZ, _GetPrevDir@CDir@UFSD@@QBEPAV12@XZ, _GetReffCount@CFSObject@UFSD@@QBEIXZ, _GetRoot@CFileSystem@UFSD@@QBEPAVCDir@2@XZ, _GetStringManager@CUFSD@UFSD@@QBEPAVCStrings@2@XZ, _GetStrings@CFileSystem@UFSD@@QBEPAVCStrings@2@XZ, _GetTime@CFileSystem@UFSD@@QBEPAVCTime@2@XZ, _IncReffCount@CFSObject@UFSD@@QAEXI@Z, _SetCookie@CFSObject@UFSD@@QAEXI@Z, _SetCurrentDir@CFileSystem@UFSD@@QAEXPAVCDir@2@@Z, _SetFirstOpenedDir@CDir@UFSD@@QAEXPAV12@@Z, _SetFirstOpenedFile@CDir@UFSD@@QAEXPAVCFile@2@@Z, _SetNext@CFSObject@UFSD@@QAEXPAV12@@Z, _SetOpenFirstFound@CDir@UFSD@@QAEXW4Open1stFound@2@@Z, _SetOpenFirstFound@CUFSD@UFSD@@QAEXW4Open1stFound@2@@Z, _SetOptions@CFileSystem@UFSD@@QAEXI@Z, _SetParent@CFSObject@UFSD@@QAEXPAVCDir@2@@Z, _SetPrev@CFSObject@UFSD@@QAEXPAV12@@Z, _SetRoot@CFileSystem@UFSD@@QAEXPAVCDir@2@@Z, _calloc@CMemBased@UFSD@@QBEPAXII@Z, _free@CMemBased@UFSD@@QBEXPAX@Z, _malloc@CMemBased@UFSD@@QBEPAXI@Z, _memmove@CMemBased@UFSD@@QBEXPAXPBXI@Z
C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.4.4.1        2008.04.04        -
AntiVir        7.6.0.81        2008.04.04        -
Authentium        4.93.8        2008.04.05        -
Avast        4.7.1098.0        2008.04.04        -
AVG        7.5.0.516        2008.04.05        -
BitDefender        7.2        2008.04.05        -
CAT-QuickHeal        9.50        2008.04.05        -
ClamAV        0.92.1        2008.04.05        -
DrWeb        4.44.0.09170        2008.04.05        -
eSafe        7.0.15.0        2008.04.01        -
eTrust-Vet        31.3.5672        2008.04.04        -
Ewido        4.0        2008.04.05        -
F-Prot        4.4.2.54        2008.04.05        -
F-Secure        6.70.13260.0        2008.04.05        -
FileAdvisor        1        2008.04.05        -
Fortinet        3.14.0.0        2008.04.05        -
Ikarus        T3.1.1.20        2008.04.05        -
Kaspersky        7.0.0.125        2008.04.05        -
McAfee        5267        2008.04.04        -
Microsoft        1.3408        2008.04.05        -
NOD32v2        3004        2008.04.05        -
Norman        5.80.02        2008.04.04        -
Panda        9.0.0.4        2008.04.04        -
Prevx1        V2        2008.04.05        -
Rising        20.38.60.00        2008.04.03        -
Sophos        4.28.0        2008.04.05        -
Sunbelt        3.0.1032.0        2008.04.05        -
Symantec        10        2008.04.05        -
TheHacker        6.2.92.265        2008.04.04        -
VBA32        3.12.6.3        2008.03.25        -
VirusBuster        4.3.26:9        2008.04.04        -
Webwasher-Gateway        6.6.2        2008.04.04        -
weitere Informationen
File size: 59392 bytes
MD5...: 1b17e09c1223f6d17336d2dd7a1af4f4
SHA1..: 721dd499b30cc3643941eed4b449884bfc1777a5
SHA256: 06dfad95007532ccf46d593eedc2474936614aedcea7bf983e36dad22f850b08
SHA512: 12be5988f4451ca6037c3a145f73a598dcd4b5d57a7933b842e5273ed51138a5
797d4cc6cd8e8df4f8fe98d31dac5f6a65caf7124db3a3c4ead66aac973ef097
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1008443
timedatestamp.....: 0x3ca2cc95 (Thu Mar 28 07:56:05 2002)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd84a 0xda00 6.66 11fa23e7edfeb3ee08e7e8b24061eec8
.data 0xf000 0x27b8 0xa00 2.26 fa256708e09685c7db28bff11fe34ac8

( 6 imports )
> ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegOpenKeyA, RegQueryValueExA, RegEnumKeyExA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegSetKeySecurity, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegEnumKeyA, GetSidSubAuthority, GetSidSubAuthorityCount, GetSidIdentifierAuthority, IsValidSid, GetTokenInformation, OpenProcessToken
> KERNEL32.dll: CloseHandle, WriteFile, SetFilePointer, CreateFileA, lstrcatA, lstrcpynA, GetEnvironmentVariableA, lstrcpyA, GetFileAttributesA, MoveFileExA, FreeLibrary, GetProcAddress, LoadLibraryA, GetSystemDirectoryA, DeleteFileA, SetFileAttributesA, SystemTimeToFileTime, GetSystemTime, CopyFileA, ExpandEnvironmentStringsA, GetLastError, WaitForSingleObject, CreateProcessA, CreateDirectoryA, MoveFileA, lstrlenA, SetEnvironmentVariableA, GetWindowsDirectoryA, GetCurrentDirectoryA, GetCommandLineA, SetLastError, GetCurrentProcess, GetVersionExA, GetStartupInfoA, ExitProcess, GetModuleHandleA, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, HeapAlloc, Sleep, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, LCMapStringA, MultiByteToWideChar, LCMapStringW, HeapSize, GetACP, GetOEMCP, GetCPInfo, HeapReAlloc, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, RtlUnwind, SetStdHandle, ReadFile, FlushFileBuffers, CompareStringA, GetSystemDefaultLangID
> GDI32.dll: TextOutA
> USER32.dll: ReleaseDC, GetDC, SystemParametersInfoA, LoadKeyboardLayoutA, wsprintfA
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )

virus 05.04.2008 14:14
Konntest du die von eScan gefundenen Dateien löschen??
Wenn nicht versuche es mit KillBox (link in meiner Signatur).
Hast du das mit der Systemwiederherstellung schon gemacht?
Versuche bitte die Datei "C:\WINDOWS\system32\msfont.dll" mit KillBox und der Einstellung "Delete on Reboot" zu löschen:daumenhoc

Meldet dein avast immer noch den "Win32:Agent-UBX(Trj)"?
Bitte lass nun auch mal SmitFraudFix laufen.

Urmel 05.04.2008 14:35
Zitat:
Konntest du die von eScan gefundenen Dateien löschen??
jup

Zitat:
Hast du das mit der Systemwiederherstellung schon gemacht?
hat zwar ein wenig gedauert bis das fenster für die eigenschaften auf gegangen ist. aber konnte dann den vorgang abschließen.

Zitat:
Versuche bitte die Datei "C:\WINDOWS\system32\msfont.dll" mit KillBox und der Einstellung "Delete on Reboot" zu löschen
habe ich gelöscht, werde aber nochmal danach suchen lassen und es gegebenenfalls mit der killbox löschen lassen.

Zitat:
Meldet dein avast immer noch den "Win32:Agent-UBX(Trj)"
nein. aber als ich die dateien, die ich löschen sollte, über die suchfunktion gefunden habe und löschen wollte, hat avast sie als trojaner erkannt und in den kontainer geschickt. hab die dateien dann dort gelöscht.

Zitat:
Bitte lass nun auch mal SmitFraudFix laufen.
mach ich gleich.
hab im moment nochmal escan im abgesicherten modus drüber geschickt, report leg ich dann noch bei.

danke für deine mühen

gruß

virus 05.04.2008 14:38
Sehr gut:daumenhoc

Das wollte ich dir gerade vorschlage versuche die "gelöschten" Datein zu finden und lass eScan nochmals laufen:daumenhoc
Bitte poste auch noch ein neues HiJackThis Logfile;)

Urmel 05.04.2008 15:10
so ich hab bei dem report die host weg gelassen, ich hoffe du brauchst sie nicht.
Code:
SmitFraudFix v2.309

Scan done at 15:54:00,85, 05.04.2008
Run from D:\Download\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process



»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A115A10C-4597-498B-AC86-404C878888CA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A115A10C-4597-498B-AC86-404C878888CA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A115A10C-4597-498B-AC86-404C878888CA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.
 

»»»»»»»»»»»»»»»»»»»»»»»» End


escan abgesicherter modus reprot, vor dem verwenden von SmitFraudFix
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK
   
eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 4/5/2008 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.
 System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
 File D:\Download\Download_mbam-setup.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.fs". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKCU\Software\kazaa !!!
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 D:\Download\cpu-z-144.1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Gescannte Dateien: 160321
 Gefundene Viren: 6
 Anzahl der desinfizierten Dateien: 0
 Umbenannte Dateien: 0
 Anzahl der gelöschten Dateien: 0
 Anzahl Fehler: 14
 Dauer des Scans bisher: 01:20:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Deaktiviert
 Überprüfung aller Festplatten :Aktiviert
 
Batchstart: 15:35:52,15
Batchende: 15:36:05,45

hijack nach escan und SmitFraudFix
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:06, on 2008-04-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Programme\a-squared Anti-Dialer\a2service.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Download\virensucher\HiJackThis202.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 9383 bytes

nochdigger 05.04.2008 15:14
Hallo

lass bitte mal diese Datei
Zitat:
C:\WINDOWS\system32\msmmas.dll
hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Urmel 05.04.2008 15:23
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.4.1 2008.04.04 -
AntiVir 7.6.0.81 2008.04.04 -
Authentium 4.93.8 2008.04.05 -
Avast 4.7.1098.0 2008.04.04 -
AVG 7.5.0.516 2008.04.05 -
BitDefender 7.2 2008.04.05 -
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.05 -
DrWeb 4.44.0.09170 2008.04.05 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5672 2008.04.04 -
Ewido 4.0 2008.04.05 -
F-Prot 4.4.2.54 2008.04.05 -
F-Secure 6.70.13260.0 2008.04.05 -
FileAdvisor 1 2008.04.05 -
Fortinet 3.14.0.0 2008.04.05 -
Ikarus T3.1.1.20 2008.04.05 -
Kaspersky 7.0.0.125 2008.04.05 -
McAfee 5267 2008.04.04 -
Microsoft 1.3408 2008.04.05 -
NOD32v2 3004 2008.04.05 -
Norman 5.80.02 2008.04.04 -
Panda 9.0.0.4 2008.04.05 -
Prevx1 V2 2008.04.05 -
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.05 -
Sunbelt 3.0.1032.0 2008.04.05 VIPRE.Suspicious
Symantec 10 2008.04.05 -
TheHacker 6.2.92.265 2008.04.04 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.04 -
Webwasher-Gateway 6.6.2 2008.04.04 Win32.Malware.dam (suspicious)
weitere Informationen
File size: 6144 bytes
MD5...: 850ba7cda87e4f5a52364427e0e1303a
SHA1..: fbbb50adc57855559440c4db62e15944da2b8207
SHA256: 58adbb849a320a43ebb30136e18dfd40b5d0788228fb0d6b9083645264b495ba
SHA512: af94a465a99b9ef96a21cb636fde6fe4129df730aa6561ab73f6cd0028cfb707
f33e39150ac49645512a865f75dc116a5bdfcb5ae5dd9909a845ad1665c27d39
PEiD..: -
PEInfo: PE Structure information
[/CODE]

Urmel 05.04.2008 15:39
Zitat:
VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
hat nichts gefunden reprot leg ich trotzdem noch bei

Code:
Dateiname :            msmmas.dll
Größe :          6144 byte
Typ :          MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :          850ba7cda87e4f5a52364427e0e1303a
SHA1 :          fbbb50adc57855559440c4db62e15944da2b8207

A-Squared          3.0.0.126          2008.04.04        2008-04-04         
-
        40.673
AhnLab V3        2008.04.04.02        2008.04.04        2008-04-04       
-
        40.469
AntiVir        7.6.0.81        7.0.3.121        2008-04-04       
-
        2.546
Arcavir        1.0.4        200804041843        2008-04-04       
-
        2.787
Avast        1.0.8        080404-0        2008-04-04       
-
        3.239
AVG        7.5.51.442        269.21.8/1345        2008-03-26       
-
        5.430
BitDefender        7.60825.1128773        7.18332        2008-04-05       
-
        6.390
CA (VET)        9.0.0.143        31.3.5672        2008-04-05       
-
        40.244
ClamAV        0.92        6615        2008-04-05       
-
        0.006
Comodo        2.11        2.0.0.486        2008-04-05       
-
        40.494
CP Secure        1.1.0.715        2008.04.05        2008-04-05       
-
        24.911
Dr.Web        4.44.0.9170        2008.04.05        2008-04-05       
-
        16.902
Ewido        4.0.0.2        2008.04.05        2008-04-05       
-
        40.758
F-Prot        4.4.1.52        20080405        2008-04-05       
-
        1.851
F-Secure        5.51.6100        2008.04.05.01        2008-04-05       
-
        3.790
Fortinet        2.81-3.11        8.931        2008-04-05       
-
        40.249
Ikarus        T3.1.01.20        2008.03.30.70525        2008-03-30       
-
        4.313
JiangMin        10.00.650        2008.03.27        2008-03-27       
-
        40.498
Kaspersky        5.5.10        2008.04.05        2008-04-05       
-
        25.222
KingSoft        2007.6.20.249        2008.4.5        2008-04-05       
-
        41.255
McAfee        5.2.00        5267        2008-04-04       
-
        2.138
Microsoft        1.3408        2008.04.05        2008-04-05       
-
        40.470
mks_vir        2.01        2008.04.04        2008-04-04       
-
        2.724
Norman        5.91.10        5.90        2008-03-31       
-
        4.905
nProtect        2008-04-05.00        1363363        2008-04-05       
-
        40.239
Panda        9.04.03.0001        2008.04.04        2008-04-04       
-
        40.491
Prevx        V2        20080405        2008-04-05       
-
        41.435
Quick Heal        9.00        2008.04.05        2008-04-05       
-
        40.233
Rising        20.0        20.38.60.00        2008-04-06       
-
        40.245
Sophos        2.72.0        4.28        2008-03-30       
-
        2.742
Symantec        1.3.0.24        20080404.003        2008-04-04       
-
        44.382
The Hacker        6.2.92        v00265        2008-04-04       
-
        40.782
Trend Micro        8.500-1001        5.202.13        2008-04-05       
-
        0.040
VBA32        3.12.6.4        20080404.1811        2008-04-04       
-
        1.248
ViRobot        20080404        2008.04.04        2008-04-04       
-
        40.254
VirusBuster        4.3.19:9        9.123.31/11.0        2008-04-04       
-
        1.113


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:47 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131