Ja, und auch mich hat der Trojaner erwischt ................

Gestern kam die Meldung von Avira Antivirus

TR/Dropper.Gen

habe ihn 4-5 mal gelöscht (ging natürlich nicht)
und ihn dann 2-3 mal in die Quarantäne geschickt (was auch keinen Erfolg hatte)


Heute Nacht habe ich einen Virenscan gemacht, und wieder war es dieser Trojaner der aufgefunden wurde.

Jetzt kann ich mir auch erklären, warum bei mir ständig pop-ups aufgehen, obwohl ich die deaktiviert habe

Hier der Report:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 4. Juli 2008 23:48

Es wird nach 1376780 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: INTERNETGURKE

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 15.04.2008 04:27:19
AVSCAN.DLL : 8.1.1.0 57601 Bytes 15.04.2008 04:27:19
LUKE.DLL : 8.1.2.9 151809 Bytes 15.04.2008 04:27:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 15.04.2008 04:27:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 00:02:17
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 00:40:28
ANTIVIR3.VDF : 7.0.5.45 115712 Bytes 03.07.2008 00:42:48
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 15.04.2008 04:27:22
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 03.07.2008 00:43:01
AESCN.DLL : 8.1.0.22 119157 Bytes 21.06.2008 19:53:30
AERDL.DLL : 8.1.0.20 418165 Bytes 29.04.2008 19:09:07
AEPACK.DLL : 8.1.1.6 364918 Bytes 21.06.2008 19:53:25
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 19:53:18
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 03.07.2008 00:42:54
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 10:24:59
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 19:53:02
AEEMU.DLL : 8.1.0.6 430451 Bytes 17.05.2008 23:43:52
AECORE.DLL : 8.1.0.32 168311 Bytes 03.07.2008 00:42:31
AVWINLL.DLL : 1.0.0.7 14593 Bytes 15.04.2008 04:27:19
AVPREF.DLL : 8.0.0.1 25857 Bytes 15.04.2008 04:27:19
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 15.04.2008 04:27:19
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 04:27:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 15.04.2008 04:27:19
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 04:27:20
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 15.04.2008 04:27:20
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 04:27:20
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 15.04.2008 04:27:12
RCTEXT.DLL : 8.0.32.0 86273 Bytes 15.04.2008 04:27:12

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 4. Juli 2008 23:48

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrobat_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhoneConnectorVMC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'giyiyws.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbbbmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbbbmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'carpserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '20' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AcroProUpd710_all_cum.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{32A05E3B-B976-48D3-87BB-D4D82C002E04}\RP146\A0010813.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '489ea897.qua' verschoben!


Ende des Suchlaufs: Samstag, 5. Juli 2008 01:12
Benötigte Zeit: 1:24:11 min

Der Suchlauf wurde vollständig durchgeführt.

5570 Verzeichnisse wurden überprüft
151612 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
151611 Dateien ohne Befall


Habe versucht die Datei zu finden .......... aber ich als DAU (Dümmster Anzunehmender User) ............... krieg es nicht hin.

Dann habe ich versucht mich zu informieren ........... habe dann erstmal die Systemwiederherstellung ausgeschaltet und wieder eingeschaltet ................ habe mir dann Trend Micro Hijack This - v2.0.2 runtergeladen ........................

Dann wie auf der Seite
www.trojaner-board.de/52382-tr-dropper-gen.html
beschrieben den cCleander heruntergeladen (promt bekam ich keine Internetverbindung - ich benutze Vodavon-UMTS - Moobicent - mehr zustande) und habe ihn gleich wieder deinstalliert und hatte sofort wieder eine Verbindung zum www.

Dann habe ich diesen Hijacklog (ohne Onlineverbindung) erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:40:22, on 05.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\dokumente und einstellungen\******\lokale einstellungen\anwendungsdaten\giyiyws.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
F:\PhoneConnectorVMC.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
F:\vmc.exe
C:\Dokumente und Einstellungen\******\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_5
O4 - HKCU\..\Run: [VMCL] C:\Programme\vodafone\vmclite\DongleEnumerator.exe
O4 - HKCU\..\Run: [giyiyws] c:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\giyiyws.exe giyiyws
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 7564 bytes


Nun hoffe ich, daß mir, dem DAU, jemand helfen kann, wie ich diesem Trojaner Herr werden kann.

Bitte bei www.virustotal.com prüfen lassen und Ergebnis posten:

C:\dokumente und einstellungen\******\lokale einstellungen\anwendungsdaten\giyiyws.exe

Währen des Scans schaltete sich mein Avira AntiVir ein und meldete mir den Trojaner

TR/Dialer.VWl.7


hier das Ergebnis des Scans:

Datei giyiyws.exe empfangen 2008.07.05 14:30:53 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/33 (12.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.4.1 2008.07.05 -
AntiVir 7.8.0.64 2008.07.04 -
Authentium 5.1.0.4 2008.07.04 -
Avast 4.8.1195.0 2008.07.04 -
AVG 7.5.0.516 2008.07.05 -
BitDefender 7.2 2008.07.05 -
CAT-QuickHeal 9.50 2008.07.04 -
ClamAV 0.93.1 2008.07.04 -
DrWeb 4.44.0.09170 2008.07.05 Trojan.Packed.562
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.05 -
F-Prot 4.4.4.56 2008.07.04 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.05 -
GData 2.0.7306.1023 2008.07.05 -
Ikarus T3.1.1.26.0 2008.07.05 Trojan.Win32.Skintrim.B
Kaspersky 7.0.0.125 2008.07.05 -
McAfee 5332 2008.07.04 -
Microsoft 1.3704 2008.07.05 Trojan:Win32/Skintrim.B
NOD32v2 3244 2008.07.05 -
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.05 -
Prevx1 V2 2008.07.05 -
Rising 20.51.42.00 2008.07.04 -
Sophos 4.31.0 2008.07.05 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.05 -
TheHacker 6.2.96.371 2008.07.04 -
TrendMicro 8.700.0.1004 2008.07.05 -
VBA32 3.12.6.8 2008.07.04 -
VirusBuster 4.5.11.0 2008.07.04 -
Webwasher-Gateway 6.6.2 2008.07.05 Win32.Vulnerable.gen!High (suspicious)
weitere Informationen
File size: 397312 bytes
MD5...: fba028693b91b2fee5f6c8d6b6dd04a8
SHA1..: f16a7f5933f462344221a6077f9f35b2c3766469
SHA256: 4490a361c85607ae389d9ecb88d069ba4aa49fb4b3d85974c4a78e36c60eeba8
SHA512: af33987d926bd72f9a36ee8b3dde8a37c238c379495965e83dfe907bdd881530
7c18d8d5ee4cdc717e0380c7d886e2c03833c56ad47852ca7a00aa0f4723db47
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x44eb55e2 (Tue Aug 22 19:07:14 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x52776 0x53000 6.97 efe91a792aab753f03706471cc3f24b7
.rdata 0x54000 0x12c2 0x2000 3.80 037a68dd7c1b44c86559c02312f8eaff
.data 0x56000 0xa7f0 0xb000 4.14 2b87920a735c591c170c0d68b3792a26

( 10 imports )
> KERNEL32.dll: QueryDosDeviceA, FreeLibraryAndExitThread, CreateIoCompletionPort, ReadConsoleA, ReadDirectoryChangesW, GetProcessHeap, GetCPInfo, GetComputerNameW, DebugBreak, GetCurrentProcessId, FatalAppExitA, EnumTimeFormatsW, FindResourceExW, AllocConsole, GetDriveTypeA, GetBinaryTypeA, SetErrorMode, CreateMutexW, GetThreadContext, CreateWaitableTimerA, GetDriveTypeW, GetTapeStatus, lstrcmpA, SetEndOfFile, _hread, GetTapeParameters, SetEnvironmentVariableA, LocalSize, GetModuleFileNameW, WritePrivateProfileStringA, RaiseException, FindFirstFileW, SetTimeZoneInformation, GlobalFree, VirtualAllocEx, SetThreadLocale, SetProcessShutdownParameters, lstrcpynA, EndUpdateResourceA, ConnectNamedPipe, GetCurrentDirectoryW, WriteFile, GetEnvironmentVariableW, SetEnvironmentVariableW, FreeLibrary, IsBadStringPtrA, ReadConsoleOutputA, EnumSystemCodePagesW, GetSystemDefaultLangID, LoadLibraryExW, CreateEventA, MultiByteToWideChar, lstrcmpiW, EnumCalendarInfoW, OutputDebugStringW, TryEnterCriticalSection, GetFullPathNameA, Beep, SetFileTime, CreatePipe, VirtualProtect, GetCommandLineA, SetThreadAffinityMask, WriteProcessMemory, WritePrivateProfileSectionA, EnumCalendarInfoA, _lclose, SearchPathW, GetSystemTimeAsFileTime, GetUserDefaultLCID, SuspendThread, GetCommModemStatus, CreateMutexA, SetCurrentDirectoryA, GetCompressedFileSizeW, SetProcessAffinityMask, GetShortPathNameW, CreateFileW, GetStringTypeExW, SetConsoleCursorPosition, FindFirstFileExW, IsBadReadPtr, GetConsoleCursorInfo, ExpandEnvironmentStringsW, SetConsoleWindowInfo, PulseEvent, SetStdHandle, GetUserDefaultLangID, GetDiskFreeSpaceW, PurgeComm, LocalAlloc, GetLargestConsoleWindowSize, FillConsoleOutputCharacterA, CreateDirectoryExA, OpenFile, GetVersionExA, ReleaseSemaphore, ExitProcess
> USER32.dll: DrawTextA, SetParent, LoadMenuIndirectA, SetPropW, BringWindowToTop, LoadImageA
> GDI32.dll: StartDocW, PatBlt
> comdlg32.dll: ChooseFontA, GetFileTitleA, PageSetupDlgW, ReplaceTextA
> ADVAPI32.dll: IsValidSid, DuplicateToken, QueryServiceConfigW, CryptSetHashParam, SetSecurityDescriptorSacl, MakeAbsoluteSD, QueryServiceConfigA, RegDeleteKeyW, CryptEncrypt, StartServiceCtrlDispatcherA, RegOpenKeyExA, BuildTrusteeWithNameW, InitializeAcl, RegEnumKeyW, MapGenericMask, RegDeleteValueW, AllocateLocallyUniqueId, RegSetValueExW, CryptDecrypt, ReadEventLogW, PrivilegeCheck, SetServiceObjectSecurity, LogonUserA, MakeSelfRelativeSD, BuildSecurityDescriptorW, ClearEventLogW, CryptHashData, CryptGenKey, OpenEventLogW
> SHELL32.dll: DragFinish, SHGetSpecialFolderLocation
> ole32.dll: CoGetClassObject, OleRegGetMiscStatus, OleSaveToStream, OleSetMenuDescriptor, CoFreeUnusedLibraries, OleCreate
> OLEAUT32.dll: -, -, -, -, -, -
> COMCTL32.dll: ImageList_ReplaceIcon, ImageList_LoadImageA
> SHLWAPI.dll: PathCanonicalizeA, SHSetThreadRef, SHAutoComplete, StrCatBuffA, SHCopyKeyA, SHDeleteKeyW, PathUnquoteSpacesA, PathQuoteSpacesW, PathIsDirectoryEmptyW, StrRStrIW, StrToIntW

( 0 exports )

Ich bin mal so frei:
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


lg myrtille

Search Navipromo version 3.6.0 began on 05.07.2008 at 15:11:18,35

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "*****"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\*****\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Gast\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Gast\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\*****\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\Gast\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" *

Suspicious Files :

giyiyws.exe found !
giyiyws.dat found !
giyiyws_nav.dat found !
giyiyws_navps.dat found !

* Scan in "C:\DOKUME~1\Gast\lokale~1\anwend~1" *



*** Search files ***


C:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" :

giyiyws.dat found !
giyiyws_nav.dat found !
giyiyws_navps.dat found !

* In "C:\DOKUME~1\Gast\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 05.07.2008 at 15:36:09,05 ***

Hi,

das sieht gut aus

• Rufe das Programm bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

lg myrtille

EDIT:
Ich hab deine Bitte mal an unsere Admins/Mods weitergeleitet.