Trojaner-Board - Weiterführung meines Threads / Bereinigung des PCs

Link zu meinem alten Thread: http://www.trojaner-board.de/75714-m...tml#post451666
Also...Ich bin eine Art "Schülerin" auf dem TB. Habe auch von vielen Unterstützung bekommen. Und wie Gott es sah: In meinen Kreisen infizierte sich Jemand schön ordentlich. Ich werde versuchen , den PC wieder zu bereinigen , doch dafür brauch ich eure Unterstützung. Besonders bedanke ich mich hier schon mal bei myrtille.
Die letzten Funde von AntVir (Mehr konnte ich nicht herausfinden):

Zitat:

Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP28\A0018266.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADSPY/Advantage.C' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be6909d.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP28\A0018267.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADSPY/Agent.omi' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a9c861d.qua' verschoben!
Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP78\A0044919.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.436733' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be9717e.qua' verschoben!
Die Datei 'C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\32952e79-4488bde9'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Agent.J' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa5861e.qua' verschoben!
Die Datei 'C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\plugtmp-2\plugin-readme.pdf'
enthielt einen Virus oder unerwünschtes Programm 'TR/Horse.P' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae18658.qua' verschoben!
Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP28\A0018265.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADSPY/Advantage.C' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a9c861c.qua' verschoben!

GMER:

Zitat:

GMER 1.0.15.14972 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-07-26 22:22:04
Windows 5.1.2600 Service Pack 3

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior; <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 08: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 09: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 11: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: rootkit-like behavior;

---- System - GMER 1.0.15 ----

SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwEnumerateKey [0x80623FF0]
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwEnumerateValueKey [0x8062425A]
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwQueryDirectoryFile [0x80579E64]
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwQuerySystemInformation [0x806110B6]

Code \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwSetEvent [0x8060D332]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\System32\svchost.exe (*** hidden *** ) [AUTO] WZCSVC <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

HiJackThis:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:47, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark 6200 Series\lxbumon.exe
C:\Programme\Lexmark 6200 Series\ezprint.exe
C:\WINDOWS\system32\lxbucoms.exe
C:\WINDOWS\system32\NSP.exe
C:\WINDOWS\system32\XSBMON.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox 3\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askR...5&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askR...5&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askR...gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxbumon.exe] "C:\Programme\Lexmark 6200 Series\lxbumon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 6200 Series\ezprint.exe"
O4 - HKLM\..\Run: [NSP] C:\WINDOWS\system32\NSP.exe
O4 - HKLM\..\Run: [XSB] C:\WINDOWS\system32\XSBMON.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1241037176171
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6852 bytes

Ich sollte die NSP.exe und die XSBMON.exe bei virustotal hochladen.
Die NSP.exe war ohne Ergebnis.
Die XSBMON.exe:

Zitat:

AntiVir 7.9.0.228 2009.07.27 -
Antiy-AVL 2.0.3.7 2009.07.27 Virus/Win32.Xorer.gen
Authentium 5.1.2.4 2009.07.26 -
Avast 4.8.1335.0 2009.07.26 -
BitDefender 7.2 2009.07.27 -
CAT-QuickHeal 10.00 2009.07.27 -
ClamAV 0.94.1 2009.07.27 -
Comodo 1782 2009.07.27 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.07.27 Adware.Bazooka
eSafe 7.0.17.0 2009.07.26 -
eTrust-Vet 31.6.6642 2009.07.27 Win32/VMalum.COZO
F-Prot 4.4.4.56 2009.07.26 -
F-Secure 8.0.14470.0 2009.07.27 -
Fortinet 3.120.0.0 2009.07.27 -
GData 19 2009.07.27 -
Ikarus T3.1.1.64.0 2009.07.27 Backdoor.Win32.Udps.10.e
Jiangmin 11.0.800 2009.07.27 -
K7AntiVirus 7.10.802 2009.07.25 Backdoor.Win32.Udps
Kaspersky 7.0.0.125 2009.07.27 -
McAfee 5689 2009.07.26 Generic.dx
McAfee+Artemis 5689 2009.07.26 Generic.dx
McAfee-GW-Edition 6.8.5 2009.07.27 -
Microsoft 1.4903 2009.07.27 -
NOD32 4281 2009.07.27 probably a variant of Win32/Agent
Norman 6.01.09 2009.07.24 W32/Malware.BUJT
nProtect 2009.1.8.0 2009.07.27 -
Panda 10.0.0.14 2009.07.26 Trj/CI.A
PCTools 4.4.2.0 2009.07.27 -
Prevx 3.0 2009.07.27 Medium Risk Malware
Rising 21.40.03.00 2009.07.27 -
Sophos 4.44.0 2009.07.27 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.26 -
Symantec 1.4.4.12 2009.07.27 -
TheHacker 6.3.4.3.374 2009.07.26 Backdoor/Udps.10.e
TrendMicro 8.950.0.1094 2009.07.27 TROJ_AWOR.I
VBA32 3.12.10.9 2009.07.27 Backdoor.Win32.Udps.10.e
weitere Informationen
File size: 192512 bytes
MD5...: bb541ce011fc9f24ac7c5c11ccdb1420
SHA1..: 1a97b8a098971fff339aeed2129f377db3e8b1de
SHA256: 0741b8eb95b455a6c62a550b763e8bca77fb17c040870303a3 9d9416ba39f60c
ssdeep: 3072:kgq6ang4zGQefaDcH8OAsmIvPRknDbg4/ATuopY48o8JnBKRm:hx4zGqDmJ
AsmP/OuoB6A
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x977c
timedatestamp.....: 0x429e78cc (Thu Jun 02 03:11:08 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ff7b 0x20000 6.59 ae69cca4913b13cac1abd1393c818b90
.rdata 0x21000 0x8592 0x9000 4.54 4d867504b82bde5e4cf4b15939a3246e
.data 0x2a000 0x6348 0x2000 4.48 5bfbeaa5fac856d6bc56bce4d2d06bcd
.rsrc 0x31000 0x21f8 0x3000 3.72 35526e9bfe7de5560cc4c565b6fb29af

( 11 imports )
> KERNEL32.dll: HeapReAlloc, HeapSize, GetACP, GetTimeZoneInformation, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, RaiseException, LCMapStringW, SetUnhandledExceptionFilter, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapFree, GetProfileStringA, HeapAlloc, ExitProcess, GetCommandLineA, GetStartupInfoA, RtlUnwind, GetFileTime, GetFileSize, GetFileAttributesA, GetTickCount, FileTimeToLocalFileTime, FileTimeToSystemTime, GetFullPathNameA, GetVolumeInformationA, FindFirstFileA, FindClose, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, GetCurrentProcess, DuplicateHandle, SetErrorMode, GetOEMCP, GetCPInfo, GetThreadLocale, SizeofResource, GetProcessVersion, WritePrivateProfileStringA, GlobalFlags, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalReAlloc, TlsFree, GlobalHandle, TlsAlloc, LocalAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrcpynA, MulDiv, SetLastError, LoadLibraryA, FreeLibrary, lstrcatA, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, lstrcpyA, GetModuleHandleA, GetProcAddress, GlobalUnlock, GlobalFree, LockResource, FindResourceA, LoadResource, GlobalLock, GlobalAlloc, GlobalDeleteAtom, lstrcmpA, lstrcmpiA, GetCurrentThread, GetCurrentThreadId, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, CreateFileA, ReadFile, CloseHandle, GetModuleFileNameA, OpenProcess, TerminateProcess, CreateEventA, GetSystemDirectoryA, GetVersion, GetLastError, FormatMessageA, LocalFree, LCMapStringA
> USER32.dll: InvalidateRect, CharUpperA, InflateRect, RegisterClipboardFormatA, PostThreadMessageA, GetTopWindow, IsChild, GetCapture, WinHelpA, wsprintfA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, DefWindowProcA, CreateWindowExA, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, RegisterWindowMessageA, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, MapDialogRect, GetWindow, SetWindowContextHelpId, EndDialog, SetActiveWindow, IsWindow, CreateDialogIndirectParamA, DestroyWindow, SetFocus, ShowWindow, MoveWindow, SetWindowLongA, GetNextDlgGroupItem, GetWindowTextLengthA, GetWindowTextA, SetWindowTextA, IsDialogMessageA, SendDlgItemMessageA, GetDlgItem, GetMenuCheckMarkDimensions, DestroyMenu, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, LoadIconA, SetTimer, SendMessageA, UnregisterClassA, HideCaret, ShowCaret, ExcludeUpdateRgn, DrawFocusRect, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, MessageBoxA, SetCursor, PostQuitMessage, PostMessageA, EnableWindow, CharNextA, GetWindowThreadProcessId, FindWindowA, IsIconic, SetWindowPos, GetSystemMetrics, GetClientRect, DefDlgProcA, IsWindowUnicode, DrawIcon, SetRect, CopyAcceleratorTableA, GetSysColorBrush, PtInRect, GetClassNameA, GetDesktopWindow, LoadCursorA, LoadStringA, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, UpdateWindow, MapWindowPoints, GetSysColor, AdjustWindowRectEx, ScreenToClient, LoadBitmapA, MessageBeep, GetDlgCtrlID, CopyRect
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, IntersectClipRect, DeleteObject, GetDeviceCaps, GetViewportExtEx, GetWindowExtEx, CreateSolidBrush, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetTextColor, GetBkColor, DPtoLP, LPtoDP, GetMapMode, PatBlt, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SetMapMode, SetBkMode, GetStockObject, SelectObject, RestoreDC, SaveDC, DeleteDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateDIBitmap, GetTextExtentPointA, BitBlt, CreateCompatibleDC, CreateBitmap
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegOpenKeyExA, RegSetValueExA, CloseServiceHandle, RegCreateKeyExA, RegCloseKey, OpenServiceA, QueryServiceStatus, OpenSCManagerA, CreateServiceA
> COMCTL32.dll: -
> oledlg.dll: -
> ole32.dll: CoFreeUnusedLibraries, OleInitialize, CoTaskMemAlloc, CoTaskMemFree, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes, CoGetClassObject, CLSIDFromString, CLSIDFromProgID, CoRegisterMessageFilter, CoRevokeClassObject, OleFlushClipboard, OleIsCurrentClipboard, OleUninitialize
> OLEPRO32.DLL: -
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=bb541ce011fc9f24ac7c5c11ccdb1420' target='_blank'>http://www.threatexpert.com/report.aspx?md5=bb541ce011fc9f24ac7c5c11ccdb1420</a>
packers (Antiy-AVL): Armadillo 1.71
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E0DC21B4001A8DCCF01F02471 3D02500DB776563' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E0DC21B4001A8DCCF01F02471 3D02500DB776563</a>

Ich bitte alle , die mir helfen wollen , meinen ersten Thread durchzulesen.
Vielen Dank und schöne Grüße ,
Cherry :)