Trojaner-Board - Bin ich sie endlich los?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bin ich sie endlich los? (https://www.trojaner-board.de/70134-endlich-los.html)

Bin ich sie endlich los?

Hallo an alle hilfsbereiten,

nachdem mich mein computer nun die letzten wochen zur totalen weissglut
gebracht hat mit diversen trojanern, die sich gegenseitig die klinke in die
hand gegeben haben, z.B.:
TR/Agent.32077.A
TR/Dropper.Gen'
TR/BHO.tko'
TR/BHO.684544
TR/Agent.awhb
u.v.a.

bin ich guter hoffnung, sie nun vertrieben zu haben. ich wollte trotzdem um
kurze hilfe bitten, dass sich (bei zeiten, eilt nicht) ein versierter entseucher
einmal meine aktuellen logs anschaut und sagt, ob der ganze rotz
wirklich komplett entfernt ist.

für die mühen vorab vielen vielen dank.

Avira findet um suchlauf nix mehr, also zuerst hjt:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 15:26:40, on 18.02.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Programme\WinZip\WZQKPICK.EXE

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe

J:\HJT.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht.p://wxw.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht.p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht.p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht.p://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {672cbaa8-e452-54c4-dcff-29d455b49a0c} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2k\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - ht.p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

hier GMER:

Code:

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-02-18 15:42:30

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.14 ----
 

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwClose [0xF73B6818]

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwCreateKey [0xF73B67D0]

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwCreatePagingFile [0xF73AAA20]

SSDT            F7B9121C                                                                                                                            ZwCreateThread

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwEnumerateKey [0xF73AB2A8]

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwEnumerateValueKey [0xF73B6910]

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwOpenKey [0xF73B6794]

SSDT            F7B91208                                                                                                                            ZwOpenProcess

SSDT            F7B9120D                                                                                                                            ZwOpenThread

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwQueryKey [0xF73AB2C8]

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwQueryValueKey [0xF73B6866]

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwSetSystemPowerState [0xF73B60B0]

SSDT            F7B91217                                                                                                                            ZwTerminateProcess

SSDT            F7B91212                                                                                                                            ZwWriteVirtualMemory
 

---- Devices - GMER 1.0.14 ----
 

Device          \FileSystem\Ntfs \Ntfs                                                                                                              86F70C90

Device          \FileSystem\Fastfat \FatCdrom                                                                                                       86413710

Device          \Driver\prodrv06 \Device\ProDrv06                                                                                                   E1BC7C30

Device          \Driver\Cdrom \Device\CdRom0                                                                                                        862A6748

Device          \FileSystem\Rdbss \Device\FsWrap                                                                                                    86113188

Device          \Driver\Cdrom \Device\CdRom1                                                                                                        862A6748

Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                  862A02A0

Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                  862A02A0

Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                                         862A02A0

Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                                         862A02A0

Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17                                                                                        862A02A0

Device          \Driver\prohlp02 \Device\ProHlp02                                                                                                   E100EBF0

Device          \Driver\USBSTOR \Device\00000078                                                                                                    sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \FileSystem\Srv \Device\LanmanServer                                                                                                8609E7F0

Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                                   86048C00

Device          \Driver\USBSTOR \Device\0000007b                                                                                                    sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                         86048C00

Device          \FileSystem\Npfs \Device\NamedPipe                                                                                                  863212D8

Device          \FileSystem\Msfs \Device\Mailslot                                                                                                   86F444E8

Device          \Driver\viasraid \Device\Scsi\viasraid1                                                                                             prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0                                                                          862FCE70

Device          \Driver\UlSata \Device\Scsi\UlSata1Port3Path0Target4Lun0                                                                            prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \Driver\UlSata \Device\Scsi\UlSata1                                                                                                 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device          \Driver\d347prt \Device\Scsi\d347prt1                                                                                               862FCE70

Device          \FileSystem\Fastfat \Fat                                                                                                            86413710
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                                                  85FE3380

Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                                                   85FE3380

Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                                       85FE3380

Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                                                    85FE3380

Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                                                   85FE3380

Device          \FileSystem\Cdfs \Cdfs                                                                                                              B7CC2400

Device          \FileSystem\Cdfs \Cdfs                                                                                                              8575CEA8
 

---- Modules - GMER 1.0.14 ----
 

Module          _________                                                                                                                           F730C000-F7324000 (98304 bytes)
 

---- Registry - GMER 1.0.14 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00076112e30f                                                         

Reg             HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40                                                                            

Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00076112e30f                                                             
 

---- EOF - GMER 1.0.14 ----

malwarebytes anti-malware sagt auch er hätte nix gefunden.

Gruß
Ivan

verdammt, ich bin sie doch nicht los...
kam schon wieder einer drauf, diesmal wieder der TR/Agent.

ich glaube ich bitte dann doch mal um hilfe. kann ich noch mit irgendwelchen logdateien/
auswertungen dienen?

gruß
ivan

Hi,

prüfen:

Arbeitsplatz->rechte Maustaste ->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html.
Danach Fullscan und alles bereinigen lassen und Log posten!

ComboFix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

Hallo Chris,

erstmal vielen Dank für Deine Hilfe.

Die TDSSserv.sys hatte ich bereits deaktiviert.

Hier die Auswertung des aktualisierten und umkonfigurierten Antivirs:

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Donnerstag, 19. Februar 2009  10:04
 

Es wird nach 1255087 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 3)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     HAUBITZE
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06

LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16

LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36

ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 09:20:33

ANTIVIR2.VDF  : 7.1.2.13        2048 Bytes  11.02.2009 09:20:34

ANTIVIR3.VDF  : 7.1.2.45      202752 Bytes  19.02.2009 08:59:10

Engineversion : 8.2.0.83  

AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 08:56:28

AESCRIPT.DLL  : 8.1.1.47      348539 Bytes  14.02.2009 09:16:45

AESCN.DLL     : 8.1.1.7       127347 Bytes  14.02.2009 09:16:43

AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 13:58:38

AEPACK.DLL    : 8.1.3.8       397684 Bytes  05.02.2009 09:16:21

AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  09.01.2009 09:50:44

AEHEUR.DLL    : 8.1.0.94     1606006 Bytes  18.02.2009 09:17:03

AEHELP.DLL    : 8.1.2.0       119159 Bytes  09.01.2009 09:50:37

AEGEN.DLL     : 8.1.1.17      332148 Bytes  18.02.2009 09:16:57

AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56

AECORE.DLL    : 8.1.6.6       176501 Bytes  18.02.2009 09:16:55

AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02

AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58

AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15

AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: löschen

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, E:, G:, H:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Donnerstag, 19. Februar 2009  10:04
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '66409' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EasyLogin.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NSLauncher.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'fppdis1.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lexbces.exE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '38' Prozesse mit '38' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD2

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD3

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'E:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'G:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'H:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '61' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\Eugen\Desktop\ComboFix.exe

    [0] Archivtyp: RAR SFX (self extracting)

      --> 32788R22FWJFW\psexec.cfexe

        [1] Archivtyp: RSRC

        --> Object

          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Eugen\Eigene Dateien\Eigene Bilder\frostwire-4.13.5.windows.exe

    [0] Archivtyp: NSIS

      --> [PluginsDir]/apbarSp.FrostWire.exe

        [1] Archivtyp: RSRC

        --> Object

          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/AdInstaller.F

    [HINWEIS]   Die Datei wurde gelöscht.

C:\RECYCLER\S-1-5-21-515967899-1935655697-839522115-1004\Dc12.exe

    [0] Archivtyp: RAR SFX (self extracting)

      --> 32788R22FWJFW\psexec.cfexe

        [1] Archivtyp: RSRC

        --> Object

          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Spb Time\SpbPocketPlus4.arm.cab

    [0] Archivtyp: CAB (Microsoft)

    --> 000Setup.999

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070373.exe

    [FUND]      Ist das Trojanische Pferd TR/Agent.32077.A

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070380.dll

    [FUND]      Ist das Trojanische Pferd TR/BHO.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070432.dll

    [FUND]      Ist das Trojanische Pferd TR/BHO.tko

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070477.exe

    [FUND]      Ist das Trojanische Pferd TR/Agent.qla

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0071410.exe

    [0] Archivtyp: NSIS

    --> ProgramFilesDir/ppcb_32.exe

      [FUND]      Ist das Trojanische Pferd TR/Dldr.VB.kam

    [FUND]      Ist das Trojanische Pferd TR/Agent.85460

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0071411.exe

    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0072420.dll

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0072439.exe

    [0] Archivtyp: RAR SFX (self extracting)

      --> 32788R22FWJFW\psexec.cfexe

        [1] Archivtyp: RSRC

        --> Object

          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E

    [HINWEIS]   Die Datei wurde gelöscht.

Beginne mit der Suche in 'D:\'

D:\RECYCLED\NPROTECT\00000392.ZIP

    [0] Archivtyp: ZIP

      --> SETUP.EXE

        [1] Archivtyp: ZIP SFX (self extracting)

        --> SERV-U32.EXE

          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Serv-U.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

D:\cdtemp\Moorhuhn\Moorhuhn.exe

    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn

    [HINWEIS]   Die Datei wurde gelöscht.

D:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0072440.exe

    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn

    [HINWEIS]   Die Datei wurde gelöscht.

Beginne mit der Suche in 'E:\' <Volume>

E:\dtm2\RD2.BAK

    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

Beginne mit der Suche in 'G:\'

G:\Microsoft Exchange Server 2000 Enterprise.exe

    [0] Archivtyp: RAR SFX (self extracting)

      --> SUPPORT\SYMBOLS\I386\DATA2.CAB

        [1] Archivtyp: CAB (Microsoft)

        --> _F52

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

G:\Sicherung Alter rechner\Spiele\Ghost Recon (FULL VERSION).exe

    [0] Archivtyp: ZIP SFX (self extracting)

      --> ghostr/GHOSTREC.ACE

        [1] Archivtyp: ACE

        --> Data\Motion\iv_apc_bradleyd0.anm

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Suche in 'H:\'
 
 

Ende des Suchlaufs: Donnerstag, 19. Februar 2009  12:03

Benötigte Zeit:  1:58:30 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  12084 Verzeichnisse wurden überprüft

 516497 Dateien wurden geprüft

     16 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

     15 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 516480 Dateien ohne Befall

   3611 Archive wurden durchsucht

      4 Warnungen

     15 Hinweise

  66409 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

und die combofix auswertung:

Code:

ComboFix 09-02-17.02 - Eugen 2009-02-19 12:35:52.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1023.626 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Eugen\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-01-19 bis 2009-02-19  ))))))))))))))))))))))))))))))

.
 

2009-02-18 15:56 . 2009-02-18 15:56        <DIR>        d--------        c:\dokumente und einstellungen\Eugen\Anwendungsdaten\Malwarebytes

2009-02-18 15:56 . 2009-02-11 10:19        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-18 15:56 . 2009-02-11 10:19        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2009-02-18 15:50 . 2009-02-18 15:56        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-02-18 15:50 . 2009-02-18 15:50        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-02-18 15:19 . 2008-04-17 21:13        811,008        --a------        C:\gmer.exe

2009-02-18 15:19 . 2009-02-18 15:28        250        --a------        c:\windows\gmer.ini

2009-02-18 14:06 . 2008-12-16 09:29        1,718,272        --a------        c:\windows\system32\AnipUninst1.exe

2009-02-18 13:54 . 2009-02-18 13:54        <DIR>        d--------        c:\programme\CCleaner

2009-02-16 01:17 . 2009-02-16 01:17        74,603        --a------        c:\windows\system32\wrfxkiyreqop

2009-01-30 13:06 . 2009-01-30 13:06        <DIR>        d--------        c:\programme\Gemeinsame Dateien\AVSMedia

2009-01-30 13:06 . 2009-02-18 14:07        <DIR>        d--------        c:\programme\AVS4YOU

2009-01-30 13:06 . 2009-01-30 13:06        <DIR>        d--------        c:\dokumente und einstellungen\Eugen\Anwendungsdaten\AVS4YOU

2009-01-30 13:06 . 2009-01-30 13:06        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU

2009-01-30 13:06 . 2006-03-03 10:02        658,432        --a------        c:\windows\system32\cc3270mt.dll

2009-01-30 13:06 . 2002-01-05 15:40        487,424        --a------        c:\windows\system32\msvcp70.dll

2009-01-30 13:06 . 2003-05-21 13:50        24,576        --a------        c:\windows\system32\msxml3a.dll

2009-01-30 12:20 . 2009-01-30 14:28        28        --a------        c:\windows\Robota.INI

2009-01-30 12:19 . 2009-01-30 12:19        <DIR>        d--------        c:\dokumente und einstellungen\Eugen\Anwendungsdaten\MAGIX

2009-01-30 12:19 . 2001-03-26 04:41        245,760        --a------        c:\windows\system32\mp4sds32.ax

2009-01-30 12:17 . 2009-01-30 12:18        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX

2009-01-30 12:16 . 2009-02-18 14:10        <DIR>        d--------        c:\windows\system32\MAGIX

2009-01-30 12:16 . 2009-02-18 14:10        <DIR>        d--------        c:\programme\MAGIX

2009-01-30 12:16 . 2008-04-15 15:14        700,416        --a------        c:\windows\system32\mgxoschk.dll

2009-01-30 12:16 . 2007-04-27 09:43        120,200        --a------        c:\windows\system32\DLLDEV32i.dll

2009-01-30 12:16 . 2009-01-30 12:18        7,119        --a------        c:\windows\mgxoschk.ini

2009-01-30 11:27 . 2007-03-08 00:51        129,784        ---------        c:\windows\system32\pxafs.dll

2009-01-30 11:02 . 2009-01-30 13:48        <DIR>        d--------        c:\dokumente und einstellungen\Eugen\Anwendungsdaten\Roxio

2009-01-30 10:16 . 2009-02-18 14:12        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Napster

2009-01-27 11:58 . 2008-04-14 03:22        221,184        --a------        c:\windows\system32\wmpns.dll

2009-01-27 10:09 . 2009-01-27 10:09        <DIR>        d--------        c:\windows\system32\de-de

2009-01-27 10:09 . 2009-01-27 10:09        <DIR>        d--------        c:\windows\system32\de

2009-01-27 10:09 . 2009-01-27 10:09        <DIR>        d--------        c:\windows\system32\bits

2009-01-27 10:09 . 2009-01-27 10:09        <DIR>        d--------        c:\windows\l2schemas
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-18 13:14        ---------        d-----w        c:\programme\Symantec

2009-01-30 09:16        ---------        d--h--w        c:\programme\InstallShield Installation Information

2009-01-09 10:42        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Corel

2009-01-08 14:49        ---------        d-----w        c:\programme\Avira

2009-01-08 14:49        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2009-01-08 11:40        198,317        ----a-w        c:\windows\kiqpb8002.exe

2003-07-17 02:26        448,640        ----a-w        c:\windows\inf\EL2K_N64.sys

2003-07-17 02:22        147,328        ----a-w        c:\windows\inf\EL2K_XP.sys

2003-06-03 07:47        147,328        ----a-w        c:\windows\inf\EL2K_2K.sys

.
 

(((((((((((((((((((((((((((((   SnapShot@2009-02-18_14.00.01,47   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-02-18 14:19:56        884,736        ----a-w        c:\windows\gmer.dll

+ 2008-04-17 20:13:02        811,008        ----a-w        c:\windows\gmer.exe

+ 2009-02-18 14:19:56        85,969        ----a-w        c:\windows\system32\drivers\gmer.sys

- 2009-02-03 23:21:12        21,244,864        ----a-w        c:\windows\system32\MRT.exe

+ 2009-02-11 19:56:18        21,244,872        ----a-w        c:\windows\system32\MRT.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"1&1 EasyLogin"="c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe" [2008-02-27 1540096]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-08-22 81920]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"pdfFactory Pro Dispatcher v1"="c:\windows\System32\spool\DRIVERS\W32X86\2\fppdis1.exe" [2002-04-05 360448]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"NSLauncher"="c:\programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-10-01 3104768]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"PtiuPbmd"="ptipbm.dll" [2003-01-15 c:\windows\system32\ptipbm.dll]

"AtiPTA"="atiptaxx.exe" [2006-02-22 c:\windows\system32\atiptaxx.exe]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 c:\windows\KHALMNPR.Exe]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 c:\windows\KHALMNPR.Exe]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

Microsoft Office.lnk - c:\programme\Microsoft Office2k\Office\OSA9.EXE [1999-02-17 65588]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.3ivx"= 3ivxVfWCodec.dll

"vidc.3iv2"= 3ivxVfWCodec.dll

"msacm.divxa32"= divxa32.acm

"VIDC.HFYU"= huffyuv.dll

"VIDC.i263"= i263_32.drv

"msacm.imc"= imc32.acm

"VIDC.VP31"= vp31vfw.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Eugen^Startmenü^Programme^Autostart^p2pmax.lnk]

path=c:\dokumente und einstellungen\Eugen\Startmenü\Programme\Autostart\p2pmax.lnk

backup=c:\windows\pss\p2pmax.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Eugen^Startmenü^Programme^Autostart^ppcb_32.lnk]

path=c:\dokumente und einstellungen\Eugen\Startmenü\Programme\Autostart\ppcb_32.lnk

backup=c:\windows\pss\ppcb_32.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Eugen^Startmenü^Programme^Autostart^runit_32.lnk]

path=c:\dokumente und einstellungen\Eugen\Startmenü\Programme\Autostart\runit_32.lnk

backup=c:\windows\pss\runit_32.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"e:\\pes2008\\PES2008.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=
 

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2005-01-15 75904]

R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8xx.sys [2006-06-02 465988]

S3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\Dyncal.sys [2004-09-12 8320]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

BHO-{672cbaa8-e452-54c4-dcff-29d455b49a0c} - (no file)

MSConfigStartUp-BitTorrent DNA - c:\programme\DNA\btdna.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-19 12:37:52

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(688)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2009-02-19 12:39:09

ComboFix-quarantined-files.txt  2009-02-19 11:38:57

ComboFix2.txt  2009-02-18 13:00:58
 

Vor Suchlauf: 20 Verzeichnis(se), 63.355.064.320 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 63,343,083,520 Bytes frei
 

144        --- E O F ---        2009-02-11 02:02:21

Gruß und Dank

Ivan

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

c:\windows\system32\wrfxkiyreqop

c:\windows\system32\AnipUninst1.exe (Animated wallpaper?)

c:\windows\kiqpb8002.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Scanne mit Ewido-Micro, poste die Funde (bitte keine Cookies, sonst werden wir hier erschlagen!)
Ewido Micro: http://downloads.ewido.net/ewido_micro.exe

chris

Hier die 3 Total-Virus ergebnisse. Da eine scheinbar
verseucht ist habe ich noch nicht ewido laufen lassen und
habe auch noch nicht neu gestartet seit combofix.

c:\windows\system32\wrfxkiyreqop

Code:

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.93 2009.02.19 - 

AhnLab-V3 2009.2.19.0 2009.02.19 - 

AntiVir 7.9.0.83 2009.02.19 - 

Authentium 5.1.0.4 2009.02.19 - 

Avast 4.8.1335.0 2009.02.18 - 

AVG 8.0.0.237 2009.02.19 - 

BitDefender 7.2 2009.02.19 - 

CAT-QuickHeal 10.00 2009.02.19 - 

ClamAV 0.94.1 2009.02.19 - 

Comodo 983 2009.02.19 - 

DrWeb 4.44.0.09170 2009.02.19 - 

eSafe 7.0.17.0 2009.02.18 - 

eTrust-Vet 31.6.6365 2009.02.19 - 

F-Prot 4.4.4.56 2009.02.19 - 

F-Secure 8.0.14470.0 2009.02.19 - 

Fortinet 3.117.0.0 2009.02.19 - 

GData 19 2009.02.19 - 

Ikarus T3.1.1.45.0 2009.02.19 - 

K7AntiVirus 7.10.630 2009.02.18 - 

Kaspersky 7.0.0.125 2009.02.19 - 

McAfee 5529 2009.02.17 - 

McAfee+Artemis 5529 2009.02.17 - 

Microsoft 1.4306 2009.02.19 - 

NOD32 3867 2009.02.19 - 

Norman 6.00.06 2009.02.19 - 

nProtect 2009.1.8.0 2009.02.19 - 

Panda 10.0.0.10 2009.02.19 - 

PCTools 4.4.2.0 2009.02.19 - 

Prevx1 V2 2009.02.19 - 

Rising 21.17.32.00 2009.02.19 - 

SecureWeb-Gateway 6.7.6 2009.02.19 - 

Sophos 4.38.0 2009.02.19 - 

Sunbelt 3.2.1855.2 2009.02.17 - 

Symantec 10 2009.02.19 - 

TheHacker 6.3.2.2.259 2009.02.18 - 

TrendMicro 8.700.0.1004 2009.02.19 - 

VBA32 3.12.10.0 2009.02.18 - 

ViRobot 2009.2.19.1615 2009.02.19 - 

VirusBuster 4.5.11.0 2009.02.18 - 

weitere Informationen 

File size: 74603 bytes 

MD5...: 2fae23383ab70d44bd6803de295929e9 

SHA1..: 313f6fad82720dbd703730fce39396b114bf782f 

SHA256: d8eec64a45a18029564e12d20c0b3852efc3575dd3782dee28a3a17a3cd559c3 

SHA512: 5596aea4a9b3d14adb1ddd3df4ac37eb428feec0f725a769afb6358dcc08e46a

04a7b17d5e36db80e58ca177fb53b0ee1423796be4aca4a41a07017ca0390b84 

ssdeep: 384:TPbjAF5bINz+IMy5B9ZyCoRAl+6w1r4pVUIqvnVTPLOmPJm68dYdd2OEs4lJ

t83:TPPwRAl+1LxX4lJt83

 

PEiD..: - 

TrID..: File type identification

Unknown! 

PEInfo: -

c:\windows\system32\AnipUninst1.exe

Code:

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.93 2009.02.19 - 

AhnLab-V3 2009.2.19.0 2009.02.19 - 

AntiVir 7.9.0.83 2009.02.19 - 

Authentium 5.1.0.4 2009.02.19 - 

Avast 4.8.1335.0 2009.02.18 - 

AVG 8.0.0.237 2009.02.19 - 

BitDefender 7.2 2009.02.19 - 

CAT-QuickHeal 10.00 2009.02.19 - 

ClamAV 0.94.1 2009.02.19 - 

Comodo 983 2009.02.19 - 

DrWeb 4.44.0.09170 2009.02.19 - 

eSafe 7.0.17.0 2009.02.18 - 

eTrust-Vet 31.6.6365 2009.02.19 - 

F-Prot 4.4.4.56 2009.02.19 - 

F-Secure 8.0.14470.0 2009.02.19 - 

Fortinet 3.117.0.0 2009.02.19 - 

GData 19 2009.02.19 - 

Ikarus T3.1.1.45.0 2009.02.19 - 

K7AntiVirus 7.10.630 2009.02.18 - 

Kaspersky 7.0.0.125 2009.02.19 - 

McAfee 5529 2009.02.17 - 

McAfee+Artemis 5529 2009.02.17 - 

Microsoft 1.4306 2009.02.19 - 

NOD32 3867 2009.02.19 - 

Norman 6.00.06 2009.02.19 - 

nProtect 2009.1.8.0 2009.02.19 - 

Panda 10.0.0.10 2009.02.19 - 

PCTools 4.4.2.0 2009.02.19 - 

Prevx1 V2 2009.02.19 - 

Rising 21.17.32.00 2009.02.19 - 

SecureWeb-Gateway 6.7.6 2009.02.19 - 

Sophos 4.38.0 2009.02.19 - 

Sunbelt 3.2.1855.2 2009.02.17 - 

Symantec 10 2009.02.19 - 

TheHacker 6.3.2.2.259 2009.02.18 - 

TrendMicro 8.700.0.1004 2009.02.19 - 

VBA32 3.12.10.0 2009.02.18 - 

ViRobot 2009.2.19.1615 2009.02.19 - 

VirusBuster 4.5.11.0 2009.02.18 - 

weitere Informationen 

File size: 1718272 bytes 

MD5...: de95fd7c767d919b4acd4ee3fa80884e 

SHA1..: 4ce074f981543640bbba44aa92b59967af9d0268 

SHA256: a6ba4ea1e35be7a50a88bb28dece5f0290e2164c6c6fc26e68df0b305df132da 

SHA512: 202591ecada955f9468d016a622a1d7aa8271999b589268fed021e43f79d8820

22a5be3293aeb25b841caeb3bd1d96256232ebcc8be9fa9a0be02797eb768a58 

ssdeep: 24576:fCwiPdYMPr8A48lPSPND++wrZ8MqQv76YrV0Ufo1q8:k6MPrTI++PS+vn

 

PEiD..: - 

TrID..: File type identification

Win32 Dynamic Link Library - Borland C/C++ (50.7%)

Windows OCX File (28.3%)

InstallShield setup (9.8%)

Win32 Executable Delphi generic (3.3%)

DOS Executable Borland C++ (2.9%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401000

timedatestamp.....: 0x475c4aa6 (Sun Dec 09 20:05:58 2007)

machinetype.......: 0x14c (I386)
 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x8c000 0x8bc00 6.53 cee03d3237d687e328e4b684749fafdd

.data 0x8d000 0x17000 0x12e00 5.73 60051f27ed005b24ad24d8046595ec60

.tls 0xa4000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

.rdata 0xa5000 0x1000 0x200 0.21 a3021adbed19db194f6d62656048d347

.idata 0xa6000 0x3000 0x2a00 5.03 18c980af857346d4705f4a50b80439f6

.edata 0xa9000 0x2000 0x2000 5.58 29af27dc5afd9d0f9c53af6072427530

.rsrc 0xab000 0xf7000 0xf6c00 7.22 f928ee436e8a9fe73378ccfa4e97a142

.reloc 0x1a2000 0x9000 0x8e00 6.63 8aeeffe41413cfef0b0f4b81cf79f3f5
 

( 9 imports ) 

> ADVAPI32.DLL: RegCloseKey, RegCreateKeyA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegFlushKey, RegOpenKeyA, RegOpenKeyExA, RegQueryInfoKeyA, RegQueryValueExA, RegSetValueExA

> KERNEL32.DLL: CloseHandle, CompareStringA, CopyFileA, CreateDirectoryA, CreateEventA, CreateFileA, CreateFileW, CreateMutexA, CreateThread, DebugBreak, DeleteCriticalSection, DeleteFileA, EnterCriticalSection, EnumCalendarInfoA, ExitProcess, ExitThread, FileTimeToDosDateTime, FileTimeToLocalFileTime, FindClose, FindFirstFileA, FindResourceA, FormatMessageA, FreeLibrary, FreeResource, GetACP, GetCPInfo, GetCommandLineA, GetCurrentProcessId, GetCurrentThreadId, GetDateFormatA, GetDiskFreeSpaceA, GetEnvironmentStrings, GetExitCodeThread, GetFileAttributesA, GetFileAttributesW, GetFileSize, GetFileType, GetLastError, GetLocalTime, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetProcAddress, GetProcessHeap, GetStartupInfoA, GetStdHandle, GetStringTypeW, GetSystemDirectoryA, GetSystemInfo, GetSystemTime, GetThreadLocale, GetTickCount, GetVersion, GetVersionExA, GetWindowsDirectoryA, GlobalAddAtomA, GlobalAlloc, GlobalDeleteAtom, GlobalFree, GlobalHandle, GlobalLock, GlobalReAlloc, GlobalUnlock, HeapAlloc, HeapFree, InitializeCriticalSection, InterlockedDecrement, InterlockedExchange, InterlockedIncrement, LeaveCriticalSection, LoadLibraryA, LoadLibraryExA, LoadResource, LocalAlloc, LocalFree, LockResource, MulDiv, MultiByteToWideChar, RaiseException, ReadFile, RemoveDirectoryA, ResumeThread, RtlUnwind, SetConsoleCtrlHandler, SetEndOfFile, SetErrorMode, SetEvent, SetFilePointer, SetHandleCount, SetLastError, SetThreadLocale, SizeofResource, Sleep, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualQuery, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcpyA, lstrcpynA, lstrlenA

> WSOCK32.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

> COMCTL32.DLL: ImageList_Add, ImageList_BeginDrag, ImageList_Create, ImageList_Destroy, ImageList_DragEnter, ImageList_DragLeave, ImageList_DragMove, ImageList_DragShowNolock, ImageList_Draw, ImageList_EndDrag, ImageList_GetBkColor, ImageList_GetDragImage, ImageList_GetIconSize, ImageList_GetImageCount, ImageList_Read, ImageList_Remove, ImageList_Replace, ImageList_ReplaceIcon, ImageList_SetBkColor, ImageList_SetDragCursorImage, ImageList_SetIconSize, ImageList_Write, ImageList_DrawEx

> GDI32.DLL: BitBlt, CopyEnhMetaFileA, CreateBitmap, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateDIBitmap, CreateFontIndirectA, CreateHalftonePalette, CreatePalette, CreatePenIndirect, CreateSolidBrush, DeleteDC, DeleteEnhMetaFile, DeleteObject, ExcludeClipRect, GdiFlush, GetBitmapBits, GetBrushOrgEx, GetClipBox, GetCurrentPositionEx, GetDCOrgEx, GetDIBColorTable, GetDIBits, GetDeviceCaps, GetEnhMetaFileBits, GetEnhMetaFileHeader, GetEnhMetaFilePaletteEntries, GetObjectA, GetPaletteEntries, GetPixel, GetStockObject, GetSystemPaletteEntries, GetTextExtentPoint32A, GetTextMetricsA, GetWinMetaFileBits, GetWindowOrgEx, IntersectClipRect, LineTo, MaskBlt, MoveToEx, PatBlt, PlayEnhMetaFile, Polyline, RealizePalette, RectVisible, Rectangle, RestoreDC, SaveDC, SelectObject, SelectPalette, SetBkColor, SetBkMode, SetBrushOrgEx, SetDIBColorTable, SetEnhMetaFileBits, SetPixel, SetROP2, SetStretchBltMode, SetTextColor, SetViewportOrgEx, SetWinMetaFileBits, SetWindowOrgEx, StretchBlt, UnrealizeObject

> SHELL32.DLL: SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteA, SHGetPathFromIDListA

> USER32.DLL: ActivateKeyboardLayout, AdjustWindowRectEx, BeginPaint, BringWindowToTop, CallNextHookEx, CallWindowProcA, CharLowerA, CharLowerBuffA, CharNextA, CharUpperBuffA, CheckMenuItem, ClientToScreen, CreateIcon, CreateMenu, CreatePopupMenu, CreateWindowExA, DefFrameProcA, DefMDIChildProcA, DefWindowProcA, DeleteMenu, DestroyCursor, DestroyIcon, DestroyMenu, DestroyWindow, DispatchMessageA, DrawEdge, DrawFocusRect, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawTextA, EnableMenuItem, EnableScrollBar, EnableWindow, EndPaint, EnumThreadWindows, EnumWindows, EqualRect, FillRect, FindWindowA, FrameRect, GetActiveWindow, GetCapture, GetClassInfoA, GetClientRect, GetClipboardData, GetCursor, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetFocus, GetForegroundWindow, GetIconInfo, GetKeyNameTextA, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetMenu, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuState, GetMenuStringA, GetParent, GetPropA, GetScrollInfo, GetScrollPos, GetScrollRange, GetSubMenu, GetSysColor, GetSystemMetrics, GetTopWindow, GetWindow, GetWindowDC, GetWindowLongA, GetWindowPlacement, GetWindowRect, GetWindowTextA, GetWindowThreadProcessId, InflateRect, InsertMenuA, InsertMenuItemA, IntersectRect, InvalidateRect, IsChild, IsDialogMessageA, IsIconic, IsRectEmpty, IsWindow, IsWindowEnabled, IsWindowVisible, IsZoomed, KillTimer, LoadBitmapA, LoadCursorA, LoadIconA, LoadKeyboardLayoutA, LoadStringA, MapVirtualKeyA, MapWindowPoints, MessageBoxA, MsgWaitForMultipleObjects, OemToCharA, OffsetRect, PeekMessageA, PostMessageA, PostQuitMessage, PtInRect, RegisterClassA, RegisterClipboardFormatA, RegisterWindowMessageA, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, ScreenToClient, ScrollWindow, SendMessageA, SetActiveWindow, SetCapture, SetClassLongA, SetCursor, SetFocus, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetRect, SetScrollInfo, SetScrollPos, SetScrollRange, SetTimer, SetWindowLongA, SetWindowPlacement, SetWindowPos, SetWindowTextA, SetWindowsHookExA, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowWindow, SystemParametersInfoA, TrackPopupMenu, TranslateMDISysAccel, TranslateMessage, UnhookWindowsHookEx, UnregisterClassA, UpdateWindow, WaitMessage, WinHelpA, WindowFromPoint, wsprintfA, GetSystemMenu

> OLE32.DLL: CLSIDFromProgID, CoCreateInstance, CoInitialize, CoUninitialize, IsEqualGUID

> OLEAUT32.DLL: GetErrorInfo, SafeArrayAccessData, SafeArrayGetElement, SafeArrayGetLBound, SafeArrayGetUBound, SafeArrayPtrOfIndex, SafeArrayUnaccessData, SysAllocStringLen, SysFreeString, SysReAllocStringLen, SysStringLen, VariantChangeTypeEx, VariantClear, VariantCopyInd, VariantInit
 

( 177 exports ) 

@$xp$10Psock@PINT, @$xp$12Nmurl@TNMURL, @$xp$12Psock@PPChar, @$xp$12Psock@TNMReg, @$xp$14Nmhttp@CmdType, @$xp$14Nmhttp@TNMHTTP, @$xp$14Psock@PLongint, @$xp$14Psock@PWSAData, @$xp$15Nmuue@UUMethods, @$xp$15Psock@PHostInfo, @$xp$15Psock@PPLongInt, @$xp$15Psock@THostInfo, @$xp$15Psock@TOnStatus, @$xp$16Psock@ESockError, @$xp$16Psock@PTimeValue, @$xp$16Psock@TPowersock, @$xp$16Psock@TTimeValue, @$xp$17Psock@EAbortError, @$xp$17Psock@PServerInfo, @$xp$17Psock@PSocketList, @$xp$17Psock@TServerInfo, @$xp$17Psock@TSocketList, @$xp$18Nmhttp@THeaderInfo, @$xp$18Psock@TThreadTimer, @$xp$19Nmhttp@TResultEvent, @$xp$19Nmurl@TOnErrorEvent, @$xp$19Nmuue@ExchangeTable, @$xp$19Psock@PProtocolInfo, @$xp$19Psock@THandlerEvent, @$xp$19Psock@TOnErrorEvent, @$xp$19Psock@TProtocolInfo, @$xp$20Nmhttp@HTTPException, @$xp$20Nmuue@TNMUUProcessor, @$xp$20Psock@PSocketAddress, @$xp$20Psock@TSocketAddress, @$xp$21Psock@TOnHostResolved, @$xp$22Nmextstr@TExStringList, @$xp$22Psock@TNMGeneralServer, @$xp$23Psock@PTNMGeneralServer, @$xp$28Psock@InstantiateServethread, @@Globals@Finalize, @@Globals@Initialize, @@Mainform@Finalize, @@Mainform@Initialize, @Nmextstr@Finalization$qqrv, @Nmextstr@TExStringList@, @Nmextstr@TExStringList@GetValue$qqrx17System@AnsiString, @Nmextstr@TExStringList@IndexOfName$qqrx17System@AnsiString, @Nmextstr@TExStringList@SetValue$qqrx17System@AnsiStringt1, @Nmextstr@initialization$qqrv, @Nmhttp@Finalization$qqrv, @Nmhttp@HTTPException@, @Nmhttp@THeaderInfo@, @Nmhttp@TNMHTTP@, @Nmhttp@TNMHTTP@$bctr$qqrp18Classes@TComponent, @Nmhttp@TNMHTTP@$bdtr$qqrv, @Nmhttp@TNMHTTP@Abort$qqrv, @Nmhttp@TNMHTTP@AssembleHTTPHeader$qqrv, @Nmhttp@TNMHTTP@Copy$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Delete$qqr17System@AnsiString, @Nmhttp@TNMHTTP@Get$qqr17System@AnsiString, @Nmhttp@TNMHTTP@HTTPConnect$qqrv, @Nmhttp@TNMHTTP@Head$qqr17System@AnsiString, @Nmhttp@TNMHTTP@Link$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Move$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Options$qqr17System@AnsiString, @Nmhttp@TNMHTTP@ParseURL$qqrv, @Nmhttp@TNMHTTP@Patch$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Post$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Put$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@RemoveHeader$qqrv, @Nmhttp@TNMHTTP@SendHTTP$qqrv, @Nmhttp@TNMHTTP@Trace$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@UnLink$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Wrapped$qqr17System@AnsiStringt1, @Nmhttp@initialization$qqrv, @Nmurl@Finalization$qqrv, @Nmurl@TNMURL@, @Nmurl@TNMURL@$bctr$qqrp18Classes@TComponent, @Nmurl@TNMURL@$bdtr$qqrv, @Nmurl@TNMURL@GetDecodeString$qqrv, @Nmurl@TNMURL@GetEncodeString$qqrv, @Nmurl@TNMURL@URLDecode$qqrx17System@AnsiString, @Nmurl@TNMURL@URLEncode$qqrx17System@AnsiString, @Nmurl@initialization$qqrv, @Nmuue@Finalization$qqrv, @Nmuue@MimeTable, @Nmuue@TNMUUProcessor@, @Nmuue@TNMUUProcessor@$bctr$qqrp18Classes@TComponent, @Nmuue@TNMUUProcessor@Base64Decode$qqrv, @Nmuue@TNMUUProcessor@Decode$qqrv, @Nmuue@TNMUUProcessor@Encode$qqrv, @Nmuue@TNMUUProcessor@ReadLnFromStream$qqrp15Classes@TStreamr17System@AnsiString, @Nmuue@TNMUUProcessor@SetEncodeTable$qqrv, @Nmuue@TNMUUProcessor@StdDecode$qqrv, @Nmuue@TNMUUProcessor@UuDEC$qqruc, @Nmuue@UUTABLE, @Nmuue@base64Table, @Nmuue@initialization$qqrv, @Psock@EAbortError@, @Psock@ESockError@, @Psock@Finalization$qqrv, @Psock@InstantiateServethread@, @Psock@InstantiateServethread@$bctr$qqrp18Classes@TComponentus, @Psock@InstantiateServethread@$bdtr$qqrv, @Psock@InstantiateServethread@Execute$qqrv, @Psock@NthPos$qqr17System@AnsiStringci, @Psock@NthWord$qqr17System@AnsiStringci, @Psock@PsockAllocateHWnd$qqrp14System@TObject, @Psock@StreamLn$qqrp15Classes@TStream17System@AnsiString, @Psock@TNMGeneralServer@, @Psock@TNMGeneralServer@$bctr$qqrp18Classes@TComponent, @Psock@TNMGeneralServer@$bdtr$qqrv, @Psock@TNMGeneralServer@Abort$qqrv, @Psock@TNMGeneralServer@Connect$qqrv, @Psock@TNMGeneralServer@Loaded$qqrv, @Psock@TNMGeneralServer@Serve$qqrv, @Psock@TNMGeneralServer@ServerAccept$qqrp14System@TObject, @Psock@TNMReg@, @Psock@TPowersock@, @Psock@TPowersock@$bctr$qqrp18Classes@TComponent, @Psock@TPowersock@$bdtr$qqrv, @Psock@TPowersock@Abort$qqrv, @Psock@TPowersock@Accept$qqrv, @Psock@TPowersock@AppendFile$qqr17System@AnsiString, @Psock@TPowersock@Cancel$qqrv, @Psock@TPowersock@CaptureFile$qqr17System@AnsiString, @Psock@TPowersock@CaptureStream$qqrp15Classes@TStreami, @Psock@TPowersock@CaptureString$qqrr17System@AnsiStringi, @Psock@TPowersock@CertifyConnect$qqrv, @Psock@TPowersock@ClearInput$qqrv, @Psock@TPowersock@Close$qqrui, @Psock@TPowersock@Connect$qqrv, @Psock@TPowersock@DataAvailable$qqrv, @Psock@TPowersock@Disconnect$qqrv, @Psock@TPowersock@ErrorManager$qqrus, @Psock@TPowersock@FilterHeader$qqrp19Classes@TFileStream, @Psock@TPowersock@GetLastErrorNo$qqrv, @Psock@TPowersock@GetLocalAddress$qqrv, @Psock@TPowersock@GetLocalIP$qqrv, @Psock@TPowersock@GetPortString$qqrv, @Psock@TPowersock@GetRemoteIP$qqrv, @Psock@TPowersock@InitWinsock$qqrv, @Psock@TPowersock@Listen$qqro, @Psock@TPowersock@Read$qqrus, @Psock@TPowersock@ReadLn$qqrv, @Psock@TPowersock@RequestCloseSocket$qqrv, @Psock@TPowersock@ResolveRemoteHost$qqrv, @Psock@TPowersock@SendBuffer$qqrpcus, @Psock@TPowersock@SendFile$qqr17System@AnsiString, @Psock@TPowersock@SendStream$qqrp15Classes@TStream, @Psock@TPowersock@SetLastErrorNo$qqri, @Psock@TPowersock@SetWSAError$qqrus17System@AnsiString, @Psock@TPowersock@SocketErrorStr$qqrus, @Psock@TPowersock@StatusMessage$qqruc17System@AnsiString, @Psock@TPowersock@TimerFired$qqrp14System@TObject, @Psock@TPowersock@TimerOff$qqrv, @Psock@TPowersock@TimerOn$qqrv, @Psock@TPowersock@Transaction$qqrx17System@AnsiString, @Psock@TPowersock@Wndproc$qqrr17Messages@TMessage, @Psock@TPowersock@Write$qqr17System@AnsiString, @Psock@TPowersock@Writeln$qqr17System@AnsiString, @Psock@TThreadTimer@, @Psock@TThreadTimer@$bctr$qqrp18Classes@TComponent, @Psock@TThreadTimer@$bdtr$qqrv, @Psock@TThreadTimer@SetEnabled$qqro, @Psock@TThreadTimer@SetInterval$qqrui, @Psock@TThreadTimer@SetOnTimer$qqrynpqqrp14System@TObject$v, @Psock@TThreadTimer@Timer$qqrv, @Psock@TThreadTimer@UpdateTimer$qqrv, @Psock@TThreadTimer@Wndproc$qqrr17Messages@TMessage, @Psock@TmrAllocateHWnd$qqrp14System@TObject, @Psock@WinsockMessage, @Psock@initialization$qqrv, __GetExceptDLLinfo, ___CPPdebugHook, _frmMain

 

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=de95fd7c767d919b4acd4ee3fa80884e' target='_blank'>http://www.threatexpert.com/report.aspx?md5=de95fd7c767d919b4acd4ee3fa80884e</a>

c:\windows\kiqpb8002.exe:

Code:

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.93 2009.02.19 - 

AhnLab-V3 2009.2.19.0 2009.02.19 - 

AntiVir 7.9.0.83 2009.02.19 - 

Authentium 5.1.0.4 2009.02.19 - 

Avast 4.8.1335.0 2009.02.18 Win32:FakeAlert-AT 

AVG 8.0.0.237 2009.02.19 Generic_r.AZ 

BitDefender 7.2 2009.02.19 - 

CAT-QuickHeal 10.00 2009.02.19 - 

ClamAV 0.94.1 2009.02.19 Trojan.Dropper-18514 

Comodo 983 2009.02.19 - 

DrWeb 4.44.0.09170 2009.02.19 - 

eSafe 7.0.17.0 2009.02.18 - 

eTrust-Vet 31.6.6365 2009.02.19 - 

F-Prot 4.4.4.56 2009.02.19 - 

F-Secure 8.0.14470.0 2009.02.19 - 

Fortinet 3.117.0.0 2009.02.19 - 

GData 19 2009.02.19 Win32:FakeAlert-AT  

Ikarus T3.1.1.45.0 2009.02.19 - 

K7AntiVirus 7.10.630 2009.02.18 - 

Kaspersky 7.0.0.125 2009.02.19 - 

McAfee 5529 2009.02.17 - 

McAfee+Artemis 5529 2009.02.17 - 

Microsoft 1.4306 2009.02.19 - 

NOD32 3867 2009.02.19 - 

Norman 6.00.06 2009.02.19 - 

nProtect 2009.1.8.0 2009.02.19 - 

Panda 10.0.0.10 2009.02.19 - 

PCTools 4.4.2.0 2009.02.19 - 

Prevx1 V2 2009.02.19 - 

Rising 21.17.32.00 2009.02.19 - 

SecureWeb-Gateway 6.7.6 2009.02.19 - 

Sophos 4.38.0 2009.02.19 - 

Sunbelt 3.2.1855.2 2009.02.17 - 

Symantec 10 2009.02.19 - 

TheHacker 6.3.2.2.259 2009.02.18 Trojan/BHO.kqt 

TrendMicro 8.700.0.1004 2009.02.19 - 

VBA32 3.12.10.0 2009.02.18 - 

ViRobot 2009.2.19.1615 2009.02.19 - 

VirusBuster 4.5.11.0 2009.02.18 - 

weitere Informationen 

File size: 198317 bytes 

MD5...: 7c20feed6e51ff6c440ef25117f7eb16 

SHA1..: 1544b6d5a16adbf5f4893690dc0ce9d4faf04db8 

SHA256: 13d1af1088f73d5d17537036000bf67debba1001c876ec1860b6546611c233c3 

SHA512: c777ca9ad61d02d5d4670011abd41c6f00a391f01da2486d169c88cd0df349a4

9db86f2d02c27c6e6536d1d9d78a320c37bc053e361bf5703548e71ed608c160 

ssdeep: 3072:HNyah0mJBIegeSCVyjLRaVQe3xiqs7XkbKdLi8z0790HFn0jQcfo7ceJ4Lh

nwUo:Hw1egeSEyRqBiL7XSEizDjWxuLa

 

PEiD..: - 

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x403225

timedatestamp.....: 0x48efcdc9 (Fri Oct 10 21:48:57 2008)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5976 0x5a00 6.47 335c19bb25cd1d02eec2b0a4eacb979c

.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75

.data 0x9000 0x1af98 0x400 4.69 59710519e577598f785044e4d95261f4

.ndata 0x24000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x31000 0x908 0xa00 3.96 ef48c617fe129a27f0ff6c0a2f0de521
 

( 8 imports ) 

> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA

> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow

> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject

> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation

> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA

> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create

> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
 

( 0 exports )

ps:
der http://downloads.ewido.net/ewido_micro.exe Ewido Link tut nicht

Hi,

Danke die sind wohl in AVG aufgegangen...

Nehmen wir mal Dr. Web/Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html

File c:\windows\kiqpb8002.exe bitte löschen

chris