Wie bekomm ich die files in so ein dunkelgelbes "extrakästchen"???

oje - hab mir schon gedacht dass ich was böses hab...

File von VirusTotal:


Datei zixqoleehvfqy.dll empfangen 2008.11.25 16:27:07 (CET)
Status: Beendet
Ergebnis: 6/37 (16.22%)
Filter
Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.24.3 2008.11.25 -
AntiVir 7.9.0.35 2008.11.25 ADSPY/Agent.PMC
Authentium 5.1.0.4 2008.11.25 -
Avast 4.8.1281.0 2008.11.24 -
AVG 8.0.0.199 2008.11.25 -
BitDefender 7.2 2008.11.25 -
CAT-QuickHeal 10.00 2008.11.25 -
ClamAV 0.94.1 2008.11.25 Adware.AdRotator-10
DrWeb 4.44.0.09170 2008.11.25 -
eSafe 7.0.17.0 2008.11.25 -
eTrust-Vet 31.6.6227 2008.11.25 -
Ewido 4.0 2008.11.25 -
F-Prot 4.4.4.56 2008.11.24 -
F-Secure 8.0.14332.0 2008.11.25 -
Fortinet 3.117.0.0 2008.11.25 -
GData 19 2008.11.25 -
Ikarus T3.1.1.45.0 2008.11.25 -
K7AntiVirus 7.10.532 2008.11.24 -
Kaspersky 7.0.0.125 2008.11.25 -
McAfee 5444 2008.11.24 -
McAfee+Artemis 5444 2008.11.24 -
Microsoft 1.4104 2008.11.25 Adware:Win32/AdRotator
NOD32 3638 2008.11.25 -
Norman 5.80.02 2008.11.25 -
Panda 9.0.0.4 2008.11.25 -
PCTools 4.4.2.0 2008.11.25 -
Prevx1 V2 2008.11.25 -
Rising 21.05.12.00 2008.11.25 -
SecureWeb-Gateway 6.7.6 2008.11.25 Ad-Spyware.Agent.PMC
Sophos 4.35.0 2008.11.25 SuperiorAds
Sunbelt 3.1.1823.2 2008.11.22 -
Symantec 10 2008.11.25 -
TheHacker 6.3.1.1.162 2008.11.25 -
TrendMicro 8.700.0.1004 2008.11.25 -
VBA32 3.12.8.9 2008.11.24 -
ViRobot 2008.11.25.1485 2008.11.25 -
VirusBuster 4.5.11.0 2008.11.24 Adware.Adrotator.Gen.2
weitere Informationen
File size: 295936 bytes
MD5...: cb49dc533b4feb3c7adf2f6340bfc141
SHA1..: 844093933a8a05a305cc922cb7dd1f33f3aec745
SHA256: 3e6cae49f8b98e54c83a8c20605ee30a2789fc812a09791d74a545fac2757da0
SHA512: 21268fbab77ff79bf63fd54ce036411126f6233acb6f83683557338fcb73e34c
c94cdaea60bb4966497dddc5a0fa39ca58c01e2eca321b70a8879a94a13bbc32
ssdeep: 6144:2qtm0LSDrDZMJADAjgkRY8p4RzpJkdpl5jXjxKLZ2ZYOMbMu94:2qtm0LTJ
A08km8aRzp6dplJXjxKLSYOZ
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10027c28
timedatestamp.....: 0x491d300e (Fri Nov 14 08:00:14 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x391d1 0x39200 6.51 fe013718e5675b4126f0469dadf05a8f
.rdata 0x3b000 0x6d57 0x6e00 4.85 fe34ea422d4592334c044f3131cc33a7
.data 0x42000 0x39a0 0x1600 3.56 98d86047e825f1d2efc565afe90f5fcc
.rsrc 0x46000 0x34c 0x400 4.69 b8e0c7d0e1baefcb76b4665565168669
.reloc 0x47000 0x6422 0x6600 4.16 9b819776f0dffd869f60a8d59500cd7f

( 7 imports )
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> SHLWAPI.dll: StrStrIW, SHDeleteKeyW, UrlEscapeW, PathStripPathW, StrCmpIW
> KERNEL32.dll: lstrlenW, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetProcAddress, LoadLibraryA, ExitThread, GetSystemTime, CreateEventW, CloseHandle, FreeLibrary, WideCharToMultiByte, MultiByteToWideChar, SetStdHandle, WriteConsoleA, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, GetModuleHandleA, ExitProcess, HeapSize, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, GetLastError, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, Sleep, GetFileType
> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, SetPropW, GetWindowThreadProcessId, PostMessageW, SendMessageW, GetPropW, RemovePropW, OffsetRect, IntersectRect, InflateRect, ClientToScreen, SetWindowTextW, MsgWaitForMultipleObjects, PeekMessageW, TranslateMessage, DispatchMessageW, GetClassNameW, SetActiveWindow
> ADVAPI32.dll: ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, RegSetValueExW, RegQueryValueExW, RegCreateKeyW, RegCloseKey
> ole32.dll: CoUninitialize, CoInitializeEx, CoTaskMemFree, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

ahhh - so geht das - danke

Code: Alles auswählenAufklappen

ATTFilter

Datei zixqoleehvfqy.dll empfangen 2008.11.25 16:27:07 (CET)
Status: Beendet 
Ergebnis: 6/37 (16.22%)
  Filter
Drucken der Ergebnisse  
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.24.3	2008.11.25	-
AntiVir	7.9.0.35	2008.11.25	ADSPY/Agent.PMC
Authentium	5.1.0.4	2008.11.25	-
Avast	4.8.1281.0	2008.11.24	-
AVG	8.0.0.199	2008.11.25	-
BitDefender	7.2	2008.11.25	-
CAT-QuickHeal	10.00	2008.11.25	-
ClamAV	0.94.1	2008.11.25	Adware.AdRotator-10
DrWeb	4.44.0.09170	2008.11.25	-
eSafe	7.0.17.0	2008.11.25	-
eTrust-Vet	31.6.6227	2008.11.25	-
Ewido	4.0	2008.11.25	-
F-Prot	4.4.4.56	2008.11.24	-
F-Secure	8.0.14332.0	2008.11.25	-
Fortinet	3.117.0.0	2008.11.25	-
GData	19	2008.11.25	-
Ikarus	T3.1.1.45.0	2008.11.25	-
K7AntiVirus	7.10.532	2008.11.24	-
Kaspersky	7.0.0.125	2008.11.25	-
McAfee	5444	2008.11.24	-
McAfee+Artemis	5444	2008.11.24	-
Microsoft	1.4104	2008.11.25	Adware:Win32/AdRotator
NOD32	3638	2008.11.25	-
Norman	5.80.02	2008.11.25	-
Panda	9.0.0.4	2008.11.25	-
PCTools	4.4.2.0	2008.11.25	-
Prevx1	V2	2008.11.25	-
Rising	21.05.12.00	2008.11.25	-
SecureWeb-Gateway	6.7.6	2008.11.25	Ad-Spyware.Agent.PMC
Sophos	4.35.0	2008.11.25	SuperiorAds
Sunbelt	3.1.1823.2	2008.11.22	-
Symantec	10	2008.11.25	-
TheHacker	6.3.1.1.162	2008.11.25	-
TrendMicro	8.700.0.1004	2008.11.25	-
VBA32	3.12.8.9	2008.11.24	-
ViRobot	2008.11.25.1485	2008.11.25	-
VirusBuster	4.5.11.0	2008.11.24	Adware.Adrotator.Gen.2
weitere Informationen
File size: 295936 bytes
MD5...: cb49dc533b4feb3c7adf2f6340bfc141
SHA1..: 844093933a8a05a305cc922cb7dd1f33f3aec745
SHA256: 3e6cae49f8b98e54c83a8c20605ee30a2789fc812a09791d74a545fac2757da0
SHA512: 21268fbab77ff79bf63fd54ce036411126f6233acb6f83683557338fcb73e34c
c94cdaea60bb4966497dddc5a0fa39ca58c01e2eca321b70a8879a94a13bbc32
ssdeep: 6144:2qtm0LSDrDZMJADAjgkRY8p4RzpJkdpl5jXjxKLZ2ZYOMbMu94:2qtm0LTJ
A08km8aRzp6dplJXjxKLSYOZ
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10027c28
timedatestamp.....: 0x491d300e (Fri Nov 14 08:00:14 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x391d1 0x39200 6.51 fe013718e5675b4126f0469dadf05a8f
.rdata 0x3b000 0x6d57 0x6e00 4.85 fe34ea422d4592334c044f3131cc33a7
.data 0x42000 0x39a0 0x1600 3.56 98d86047e825f1d2efc565afe90f5fcc
.rsrc 0x46000 0x34c 0x400 4.69 b8e0c7d0e1baefcb76b4665565168669
.reloc 0x47000 0x6422 0x6600 4.16 9b819776f0dffd869f60a8d59500cd7f

( 7 imports ) 
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> SHLWAPI.dll: StrStrIW, SHDeleteKeyW, UrlEscapeW, PathStripPathW, StrCmpIW
> KERNEL32.dll: lstrlenW, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetProcAddress, LoadLibraryA, ExitThread, GetSystemTime, CreateEventW, CloseHandle, FreeLibrary, WideCharToMultiByte, MultiByteToWideChar, SetStdHandle, WriteConsoleA, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, GetModuleHandleA, ExitProcess, HeapSize, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, GetLastError, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, Sleep, GetFileType
> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, SetPropW, GetWindowThreadProcessId, PostMessageW, SendMessageW, GetPropW, RemovePropW, OffsetRect, IntersectRect, InflateRect, ClientToScreen, SetWindowTextW, MsgWaitForMultipleObjects, PeekMessageW, TranslateMessage, DispatchMessageW, GetClassNameW, SetActiveWindow
> ADVAPI32.dll: ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, RegSetValueExW, RegQueryValueExW, RegCreateKeyW, RegCloseKey
> ole32.dll: CoUninitialize, CoInitializeEx, CoTaskMemFree, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
         

2) Systemwiederherstellung ist deaktiviert

3) mbr - tool ausgeführt

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

das ergebnis v. fsbl:

Code: Alles auswählenAufklappen

ATTFilter

11/25/08 16:46:24 [Info]: BlackLight Engine 2.2.1092 initialized
11/25/08 16:46:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/25/08 16:46:24 [Note]: 7019 4
11/25/08 16:46:24 [Note]: 7005 0
11/25/08 16:46:35 [Note]: 7006 0
11/25/08 16:46:35 [Note]: 7011 2132
11/25/08 16:46:35 [Note]: 7035 0
11/25/08 16:46:35 [Note]: 7026 0
11/25/08 16:46:35 [Note]: 7026 0
11/25/08 16:46:37 [Note]: FSRAW library version 1.7.1024
11/25/08 16:51:39 [Note]: 2000 1012
11/25/08 16:51:39 [Note]: 2000 1012
11/25/08 16:51:39 [Note]: 2000 1012
11/25/08 16:51:39 [Note]: 2000 1012
11/25/08 16:51:39 [Note]: 2000 1012
11/25/08 16:51:39 [Note]: 2000 1012
11/25/08 16:52:21 [Note]: 7007 0
         

und hier das log file von Malewarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1422
Windows 5.1.2600 Service Pack 2

25.11.2008 17:24:53
mbam-log-2008-11-25 (17-24-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 114600
Laufzeit: 23 minute(s), 58 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\WINDOWS\system32\winhost.exe (Backdoor.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3723ac31-4f85-cb8e-79f4-7625138f161f} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3723ac31-4f85-cb8e-79f4-7625138f161f} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{db2d8962-8880-92cf-6124-8ed3cf4461f1} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{db2d8962-8880-92cf-6124-8ed3cf4461f1} (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winhosts (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\takpxdkywrbu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSFox (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\lisa\Anwendungsdaten\VirusRemover2008 (Rogue.VirusRemover) -> No action taken.
C:\Dokumente und Einstellungen\lisa\Anwendungsdaten\VirusRemover2008\Logs (Rogue.VirusRemover) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\winhost.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeApp.exe (Backdoor.Agent) -> No action taken.
C:\Dokumente und Einstellungen\lisa\Lokale Einstellungen\Temp\~tmpb.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\lisa\Anwendungsdaten\VirusRemover2008\Logs\scns.log (Rogue.VirusRemover) -> No action taken.
C:\WINDOWS\system32\zixqoleehvfqy.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\lisa\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\VirusRemover2008.lnk (Rogue.VirusRemove) -> No action taken.
C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> No action taken.
         

Zitat:

Zitat von LisaG

Wie bekomm ich die files in so ein dunkelgelbes "extrakästchen"???

Ist doch ganz einfach. Mit Codetags. Den Text der in ein "Kästchen" soll markieren, dann oben (über dem Textfenster für den beitragstext) auf den #-Button klicken. So sollst Du auch die Logfiles posten.