Trojaner-Board - TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen

hier das virustotal-ergebnis:

Code:

Datei file-1162162_exe empfangen 2010.06.16 12:44:43 (UTC)

Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        5.0.0.26        2010.06.16        -

AhnLab-V3        2010.06.16.07        2010.06.16        -

AntiVir        8.2.2.6        2010.06.16        -

Antiy-AVL        2.0.3.7        2010.06.11        -

Authentium        5.2.0.5        2010.06.16        -

Avast        4.8.1351.0        2010.06.16        -

Avast5        5.0.332.0        2010.06.16        -

AVG        9.0.0.787        2010.06.16        -

BitDefender        7.2        2010.06.16        -

CAT-QuickHeal        10.00        2010.06.16        -

ClamAV        0.96.0.3-git        2010.06.16        -

Comodo        5120        2010.06.16        -

DrWeb        5.0.2.03300        2010.06.16        -

eSafe        7.0.17.0        2010.06.15        -

eTrust-Vet        36.1.7638        2010.06.16        -

F-Prot        4.6.0.103        2010.06.16        -

F-Secure        9.0.15370.0        2010.06.16        Suspicious:W32/Malware!Gemini

Fortinet        4.1.133.0        2010.06.16        -

GData        21        2010.06.16        -

Ikarus        T3.1.1.84.0        2010.06.16        -

Jiangmin        13.0.900        2010.06.15        -

K7AntiVirus        7.10.1004        2010.03.22        -

Kaspersky        7.0.0.125        2010.06.16        -

McAfee        5.400.0.1158        2010.06.16        -

McAfee+Artemis        5937        2010.03.31        -

McAfee-GW-Edition        2010.1        2010.06.16        -

Microsoft        1.5802        2010.06.16        -

NOD32        5200        2010.06.16        -

Norman        6.04.12        2010.06.15        -

nProtect        2010-06-16.01        2010.06.16        -

Panda        10.0.2.7        2010.06.16        -

PCTools        7.0.3.5        2010.06.16        -

Prevx        3.0        2010.06.16        -

Rising        22.51.06.01        2010.06.13        -

Sophos        4.54.0        2010.06.16        Mal/VBInject-D

Sunbelt        6454        2010.06.16        -

Symantec        20101.1.0.89        2010.06.16        -

TheHacker        6.5.2.0.299        2010.06.15        -

TrendMicro        9.120.0.1004        2010.06.16        -

TrendMicro-HouseCall        9.120.0.1004        2010.06.16        -

VBA32        3.12.12.5        2010.06.16        -

ViRobot        2010.6.14.3884        2010.06.16        -

VirusBuster        5.0.27.0        2010.06.15        -

weitere Informationen

File&nbsp;size: 345600 bytes

MD5&nbsp;&nbsp;&nbsp;: 5ee476d95b3daf99b211032187e8cfa8

SHA1&nbsp;&nbsp;: 835cfd4bcd9a65378ad306eb697065614167705c

SHA256: 4c6f161b137ca0e07ecd7dfd86988dc9c55a1e1ba5f1f35d62bc933a5c5c329d

TrID&nbsp;&nbsp;: File type identification<br>UPX compressed Win32 Executable (43.8%)<br>Win32 EXE Yoda's Crypter (38.1%)<br>Win32 Executable Generic (12.2%)<br>Generic Win/DOS Executable (2.8%)<br>DOS Executable Generic (2.8%)

ssdeep: 6144:m127IjwjEAnJySCv/+2WUddIKwJkejFTmGzLVcqToR5JqfJV/Yxcrdzrild:b7IjYn9Cn/nv/7wVcqER5JmNdzril

sigcheck: publisher....: Gandke _ Schubert GmbH<br>copyright....: <br>product......: <br>description..: <br>original name: <br>internal name: <br>file version.: 2.3.3.0<br>comments.....: <br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

PEiD&nbsp;&nbsp;: UPX 2.90 [LZMA] -&gt; Markus Oberhumer, Laszlo Molnar &amp; John Reiser

packers&nbsp;(Kaspersky): PE_Patch.UPX, UPX

packers&nbsp;(F-Prot): UPX

RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-

und hier noch ien weiterer, eben ausgeführter antivir-scan:

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Mittwoch, 16. Juni 2010  19:20
 

Es wird nach 2219416 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus

Seriennummer   : xxxxxxxxx

Plattform      : Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : OPFER-IRD4ZQAV9
 

Versionsinformationen:

BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00

AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35

AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16

LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59

LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36

VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49

VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42

VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42

VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03

VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 11:42:44

VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 11:42:46

VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 11:42:46

VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 11:42:46

VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 11:42:47

VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 11:42:47

VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 11:42:47

VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 11:42:47

VBASE013.VDF   : 7.10.8.37     270336 Bytes  10.06.2010 11:42:47

VBASE014.VDF   : 7.10.8.69     138752 Bytes  14.06.2010 15:33:02

VBASE015.VDF   : 7.10.8.70       2048 Bytes  14.06.2010 15:33:02

VBASE016.VDF   : 7.10.8.71       2048 Bytes  14.06.2010 15:33:02

VBASE017.VDF   : 7.10.8.72       2048 Bytes  14.06.2010 15:33:02

VBASE018.VDF   : 7.10.8.73       2048 Bytes  14.06.2010 15:33:02

VBASE019.VDF   : 7.10.8.74       2048 Bytes  14.06.2010 15:33:02

VBASE020.VDF   : 7.10.8.75       2048 Bytes  14.06.2010 15:33:02

VBASE021.VDF   : 7.10.8.76       2048 Bytes  14.06.2010 15:33:02

VBASE022.VDF   : 7.10.8.77       2048 Bytes  14.06.2010 15:33:02

VBASE023.VDF   : 7.10.8.78       2048 Bytes  14.06.2010 15:33:02

VBASE024.VDF   : 7.10.8.79       2048 Bytes  14.06.2010 15:33:02

VBASE025.VDF   : 7.10.8.80       2048 Bytes  14.06.2010 15:33:02

VBASE026.VDF   : 7.10.8.81       2048 Bytes  14.06.2010 15:33:02

VBASE027.VDF   : 7.10.8.82       2048 Bytes  14.06.2010 15:33:02

VBASE028.VDF   : 7.10.8.83       2048 Bytes  14.06.2010 15:33:02

VBASE029.VDF   : 7.10.8.84       2048 Bytes  14.06.2010 15:33:02

VBASE030.VDF   : 7.10.8.85       2048 Bytes  14.06.2010 15:33:02

VBASE031.VDF   : 7.10.8.98     111616 Bytes  16.06.2010 17:18:52

Engineversion  : 8.2.2.6   

AEVDF.DLL      : 8.1.2.0       106868 Bytes  13.06.2010 11:42:54

AESCRIPT.DLL   : 8.1.3.31     1352058 Bytes  13.06.2010 11:42:54

AESCN.DLL      : 8.1.6.1       127347 Bytes  13.06.2010 11:42:53

AESBX.DLL      : 8.1.3.1       254324 Bytes  13.06.2010 11:42:54

AERDL.DLL      : 8.1.4.6       541043 Bytes  13.06.2010 11:42:53

AEPACK.DLL     : 8.2.1.1       426358 Bytes  19.03.2010 11:34:51

AEOFFICE.DLL   : 8.1.1.0       201081 Bytes  13.06.2010 11:42:53

AEHEUR.DLL     : 8.1.1.33     2724214 Bytes  13.06.2010 11:42:52

AEHELP.DLL     : 8.1.11.5      242038 Bytes  13.06.2010 11:42:51

AEGEN.DLL      : 8.1.3.10      377205 Bytes  13.06.2010 11:42:51

AEEMU.DLL      : 8.1.2.0       393588 Bytes  13.06.2010 11:42:50

AECORE.DLL     : 8.1.15.3      192886 Bytes  13.06.2010 11:42:50

AEBB.DLL       : 8.1.1.0        53618 Bytes  13.06.2010 11:42:50

AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10

AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07

AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40

AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44

AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49

AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11

AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25

SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53

AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54

NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55

RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08

RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: niedrig

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: löschen

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: mittel

Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,
 

Beginn des Suchlaufs: Mittwoch, 16. Juni 2010  19:20
 

Der Suchlauf nach versteckten Objekten wird begonnen.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\11.0\Registration\{90110407-6000-11D3-8CFE-0150048383C9}\current1

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '85' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '124' Modul(e) wurden durchsucht

Durchsuche Prozess 'winprxrev06.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'SGlass.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'SolutoService.exe' - '114' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '57' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '137' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht

Durchsuche Prozess 'soluto.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '80' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '1029' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\24ddd997-77cfd6d7

[0] Archivtyp: ZIP

  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.D

--> Inicio.class

  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.D

C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Dokumente\Settings\_cbss_.dll.zip

[0] Archivtyp: ZIP

  [FUND]      Ist das Trojanische Pferd TR/Dldr.Piker.cmk

--> cbss.dll

  [FUND]      Ist das Trojanische Pferd TR/Dldr.Piker.cmk
 

Beginne mit der Desinfektion:

C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Dokumente\Settings\_cbss_.dll.zip

    [FUND]      Ist das Trojanische Pferd TR/Dldr.Piker.cmk

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46bdb56c.qua' verschoben!

C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\24ddd997-77cfd6d7

    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.D

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e2c9afd.qua' verschoben!
 
 

Ende des Suchlaufs: Mittwoch, 16. Juni 2010  20:02

Benötigte Zeit: 25:52 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   7345 Verzeichnisse wurden überprüft

 199434 Dateien wurden geprüft

      2 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      2 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 199432 Dateien ohne Befall

   1832 Archive wurden durchsucht

      0 Warnungen

      2 Hinweise

 437201 Objekte wurden beim Rootkitscan durchsucht

     25 Versteckte Objekte wurden gefunden