Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Chinesische Werbung über iexplore.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.12.2008, 12:26   #1
Basti #52
 
Chinesische Werbung über iexplore.exe - Unglücklich

Chinesische Werbung über iexplore.exe



Hallo,
hab ein Problem mit der iexplore.exe

Und zwar öffnet sich eine zweite iexplore.exe bei mir im Taskmanager und zeitgleich ertönt über meine Boxen immer so eine komische chinesische Werbung. Diese läuft quasi als Dauerschleife und startet sich selber alle 20sek neu.´
Habe schon einige Programme (Spybot, Stinger, Antivir usw.) durchlaufen lassen aber ohne Erfolg.....

Hab auch nen Logfile mit HijackThis erstellt und angehängt:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:58, on 04.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\taskmagr.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - e:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - e:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219495645140
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228374096968
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/softwareupdate/su2/ocx/15105/CTPID.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6741 bytes


Ich hoffe des Logfile ist soweit richtig erstellt und Ihr könnt mir bei mienem Problem helfen


MfG
Basti

Alt 04.12.2008, 13:27   #2
Chris4You
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hi,

zwei mögliche Ansatzpunkte:
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry (ev. Creative-Soundkarte)
C:\WINDOWS\system32\taskmagr.exe -> http://www.prevx.com/filenames/X5944...MAGR2EEXE.html

Beide Files bitte prüfen lassen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\taskmagr.exe
C:\WINDOWS\system32\SPIRun.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wenn nicht erkannt wird dann RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Chris
__________________

__________________

Alt 04.12.2008, 14:03   #3
Basti #52
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hallo Chris,
danke für die schnelle Antwort

Hier nun die Ergebnisse:

Datei taskmagr.exe empfangen 2008.12.04 13:58:19 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 4/37 (10.82%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.4.1 2008.12.04 -
AntiVir 7.9.0.36 2008.12.04 -
Authentium 5.1.0.4 2008.12.04 -
Avast 4.8.1281.0 2008.12.03 -
AVG 8.0.0.199 2008.12.04 -
BitDefender 7.2 2008.12.04 -
CAT-QuickHeal 10.00 2008.12.04 -
ClamAV 0.94.1 2008.12.04 -
DrWeb 4.44.0.09170 2008.12.04 -
eSafe 7.0.17.0 2008.12.04 -
eTrust-Vet 31.6.6243 2008.12.04 -
Ewido 4.0 2008.12.04 -
F-Prot 4.4.4.56 2008.12.03 -
F-Secure 8.0.14332.0 2008.12.04 -
Fortinet 3.117.0.0 2008.12.04 -
GData 19 2008.12.04 -
Ikarus T3.1.1.45.0 2008.12.04 -
K7AntiVirus 7.10.541 2008.12.03 -
Kaspersky 7.0.0.125 2008.12.04 -
McAfee 5453 2008.12.03 -
McAfee+Artemis 5453 2008.12.03 Generic!Artemis
Microsoft 1.4205 2008.12.04 -
NOD32 3663 2008.12.04 probably a variant of Win32/Agent.OKM
Norman 5.80.02 2008.12.03 -
Panda 9.0.0.4 2008.12.04 Suspicious file
PCTools 4.4.2.0 2008.12.04 -
Prevx1 V2 2008.12.04 -
Rising 21.06.32.00 2008.12.04 -
SecureWeb-Gateway 6.7.6 2008.12.04 -
Sophos 4.36.0 2008.12.04 Mal/Behav-204
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.04 -
TheHacker 6.3.1.2.174 2008.12.04 -
TrendMicro 8.700.0.1004 2008.12.04 -
VBA32 3.12.8.10 2008.12.03 -
ViRobot 2008.12.4.1500 2008.12.04 -
VirusBuster 4.5.11.0 2008.12.03 -
weitere Informationen
File size: 98304 bytes
MD5...: c0a90ee29f1cc4689d94db628e87a0c8
SHA1..: c390412e1be4ae8d111a70dc038e32c35aba7967
SHA256: 4bff537e3246ca93c82dd22f9f4526cecddbb5f97afd62128cbe15af40554744
SHA512: 500c8ae24f7939a422eacb8981d5787544c323d2955ca51a6607076521498bad
f873277625a6b0ccfcec51f3a481e8672a4449e797cafde6ce7235df439d8288

ssdeep: 1536:nhc7zscICJOaVFlt2vHw2DhqN93xMxq0xEGz0NKwBg:nhA4cIFaVFl2wbxM
xlEGeKwB

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41515f
timedatestamp.....: 0x49303993 (Fri Nov 28 18:33:55 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1468e 0x15000 6.63 fc5752b817c6a8328869b6b9740854e5
.rdata 0x16000 0xde0 0x1000 4.54 58a8a7e4a0e925f966b94dc703b96e76
.data 0x17000 0x14f0 0x1000 7.71 6728931e89f2ad0d9915a9ae0a4e9256

( 7 imports )
> KERNEL32.dll: lstrlenW, LeaveCriticalSection, EnterCriticalSection, WriteFile, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetVolumeInformationA, GetProcAddress, FreeLibrary, LoadLibraryA, DeleteFileA, ReleaseMutex, WideCharToMultiByte, WaitNamedPipeA, GetLastError, CreateMutexA, GetSystemDirectoryA, GetTempPathA, InitializeCriticalSection, DeleteCriticalSection, SuspendThread, WinExec, ResumeThread, MoveFileExA, CreateThread, GetStartupInfoA, GetModuleHandleA, lstrlenA, Sleep, MultiByteToWideChar, WaitForSingleObject, GetPrivateProfileStringA
> USER32.dll: CharLowerA, SystemParametersInfoA, CharUpperA, ShowWindow, SendMessageA, SetCursorPos, ClientToScreen, FindWindowExA, RegisterWindowMessageA, SendMessageTimeoutA, FindWindowA, GetWindowThreadProcessId, mouse_event, SetForegroundWindow
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize
> OLEAUT32.dll: -, -, -, -
> MSVCRT.dll: strncpy, _stricmp, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, localtime, strncmp, strstr, free, sprintf, atoi, malloc, __CxxFrameHandler, rand, wcscmp, _strlwr, srand, time
> NETAPI32.dll: Netbios

( 0 exports )

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8' target='_blank'>http://www.threatexpert.com/report.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8</a>
--------------------------------------------------------------------------

Datei SPIRun.dll empfangen 2008.12.04 13:52:53 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/37 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.4.1 2008.12.04 -
AntiVir 7.9.0.36 2008.12.04 -
Authentium 5.1.0.4 2008.12.04 -
Avast 4.8.1281.0 2008.12.03 -
AVG 8.0.0.199 2008.12.04 -
BitDefender 7.2 2008.12.04 -
CAT-QuickHeal 10.00 2008.12.04 -
ClamAV 0.94.1 2008.12.04 -
DrWeb 4.44.0.09170 2008.12.04 -
eSafe 7.0.17.0 2008.12.04 -
eTrust-Vet 31.6.6243 2008.12.04 -
Ewido 4.0 2008.12.04 -
F-Prot 4.4.4.56 2008.12.03 -
F-Secure 8.0.14332.0 2008.12.04 -
Fortinet 3.117.0.0 2008.12.04 -
GData 19 2008.12.04 -
Ikarus T3.1.1.45.0 2008.12.04 -
K7AntiVirus 7.10.541 2008.12.03 -
Kaspersky 7.0.0.125 2008.12.04 -
McAfee 5453 2008.12.03 -
McAfee+Artemis 5453 2008.12.03 -
Microsoft 1.4205 2008.12.04 -
NOD32 3663 2008.12.04 -
Norman 5.80.02 2008.12.03 -
Panda 9.0.0.4 2008.12.04 -
PCTools 4.4.2.0 2008.12.04 -
Prevx1 V2 2008.12.04 -
Rising 21.06.32.00 2008.12.04 -
SecureWeb-Gateway 6.7.6 2008.12.04 -
Sophos 4.36.0 2008.12.04 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.04 -
TheHacker 6.3.1.2.174 2008.12.04 -
TrendMicro 8.700.0.1004 2008.12.04 -
VBA32 3.12.8.10 2008.12.03 -
ViRobot 2008.12.4.1500 2008.12.04 -
VirusBuster 4.5.11.0 2008.12.03 -
weitere Informationen
File size: 8704 bytes
MD5...: e314e91958e817ecc458e72c3cb01f87
SHA1..: f3a1817f289635a7b6ecd13cb8fd931331f5b478
SHA256: 2d8ef0c4a4d7d29c15673ccf1a5b9c8c6e01df8f4b3845748c0472b6b9d34805
SHA512: 8dd0e1ab63ad9b8a682557d8d767b0758f7b3e58ab5f6ae599a575dcb43859b9
347ff6084e865392d9b03a5736b524c288326a0e41c8e29c2191024d36669c89

ssdeep: 192:44HP7zlFeiw3CBCqhXOJbFNQ/7OBGYVvpl71qtta7CUObIeg:l7zlFeN3CcJ
FNQyjkttWCtUF

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401f04
timedatestamp.....: 0x456d628d (Wed Nov 29 10:35:57 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1449 0x1600 6.69 a10aaffeff6c8a168ad8f75fa6ccb89b
.data 0x3000 0x30 0x200 0.22 b91b5c131db74c00bfd205dfc2d0d805
.rsrc 0x4000 0x380 0x400 2.92 408358c6a85d0847f9732543b76b3117
.reloc 0x5000 0x11c 0x200 2.71 7b8e102230a2a772f940178b37df5159

( 4 imports )
> KERNEL32.dll: LocalFree, LocalAlloc, FreeLibrary, GetProcAddress, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, Sleep, DisableThreadLibraryCalls
> msvcrt.dll: free, malloc, __3@YAXPAX@Z, _adjust_fdiv, _initterm, __2@YAPAXI@Z
> USER32.dll: DestroyWindow, RegisterClassExA, CreateWindowExA, DefWindowProcA, GetWindowLongA, UnregisterDeviceNotification, RegisterDeviceNotificationA, UnregisterClassA, GetMessageA, DispatchMessageA, TranslateMessage
> ole32.dll: CoCreateInstance, CoInitialize

( 1 exports )
RunDLLEntry
__________________

Alt 04.12.2008, 14:22   #4
Chris4You
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hi,

siehts Du die "taskmagr.exe" im Taskmanager von windows?
Wenn ja, beenden und prüfen ob es dann weg ist (beim prüfen unter "Prozesse" im Taskmanager schauen);

Wenn Du sie nicht findest, suche sie auf der Platte und versuche sie umzubennen auf taskmag.exe.vir. Geht das nicht, dann läuft sie unsichtbar, was wieder ein Zeichen ist, dass sie nicht koscher ist ...

Dann legen wir sie über Avenger "trocken"...

Was macht RSIT (ich sehe keinen Startpunkt für die genannte EXE)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.12.2008, 13:50   #5
Basti #52
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hi,
sorry hab das wohl was falsch verstanden mit dem RSIT.
Die Info werd ich Dir rein setzen, aber was meinst du bei der Log mit minimieren....einafach nur die Schriftgröße änder???
Wollte sie schon als Datei anhängen, nur dafür ist die zu groß.

Im Moment hab ich mit dieser Werbung ruhe, ist seit gestern nicht mehr zu hören.

info.txt logfile of random's system information tool 1.04 2008-12-05 13:21:55

======Uninstall list======

-->"C:\Programme\Creative Installation Information\CREATIVE_MEDIASOURCE_U\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\CTCMSGO\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\E-CENTER_NET_CONTENT_U\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\E-CENTER_PLUGIN_CDBURNER_U\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\E-CENTER_PLUGIN_MINIDISC_U\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\E-CENTER_PLUGIN_ONLINESTORE_U\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\MEDIASOURCE_PLAYER_SKINPACK_U\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative\Sound Blaster X-Fi\Program\SETUP.EXE" /S /U /W /L:GER
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7 /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Ahead Nero - Burning Rom-->C:\WINDOWS\UNNERO.exe /UNINSTALL
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
AVM FRITZ!DSL-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!DSL\WebUnins.isu -cC:\Programme\FRITZ!DSL\Webunins.dll
Call of Duty(R) - World at War(TM) 1.1 Patch-->C:\Programme\InstallShield Installation Information\{AFAE2B15-89A0-4215-A030-F7B5B478886B}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM)-->C:\Programme\InstallShield Installation Information\{D80A6A73-E58A-4673-AFF5-F12D7110661F}\setup.exe -runfromtemp -l0x0407
Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch-->C:\Programme\InstallShield Installation Information\{3BD633E0-4BF8-4499-9149-88F0767D449C}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch-->C:\Programme\InstallShield Installation Information\{8503C901-85D7-4262-88D2-8D8B2A7B08B8}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch-->C:\Programme\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch-->C:\Programme\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Programme\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0407
Catalyst Control Center - Branding-->MsiExec.exe /I{FA3A247D-437A-455E-A88F-7EB6E5F9E799}
Creative MediaSource 5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BEEFC4F8-2909-48B3-AFAA-55D3533FDEDD}\SETUP.EXE" -l0x7 /remove
Creative Software AutoUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7 /remove
DER HERR DER RINGE ONLINE: Die Minen Von Moria v02.01.03.4020-->"G:\Codemasters\Der Herr der Ringe Online\unins000.exe"
EVEREST Home Edition v2.20-->"e:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
FlashGet 1.9.6.1073-->e:\Programme\FlashGet\uninst.exe
FRITZ!Box-->C:\Programme\FRITZ!Box\install.exe -d
Hamachi 1.0.3.0-->E:\Programme\Hamachi\uninstall.exe
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Basti\Desktop\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
NVIDIA Drivers-->C:\WINDOWS\system32\nvunrm.exe UninstallGUI
PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sound Blaster X-Fi-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0C9D0200-FA32-44B7-BBB3-7C03F700C4A0}\SETUP.EXE" -l0x7 /remove
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
TeamSpeak 2 RC2-->E:\Programme\Teamspeak2_RC2\unins000.exe
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Winamp Remote-->"C:\Programme\Winamp Remote\uninstall.exe"
Winamp Toolbar for Firefox-->"\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe"
Winamp Toolbar for Internet Explorer-->"C:\Programme\Winamp Toolbar\uninstall.exe"
Winamp-->"e:\Programme\Winamp\UninstWA.exe"
Windows Defender-->MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->e:\Programme\WinRAR\uninstall.exe
Xfire (remove only)-->"e:\Programme\Xfire\uninst.exe"

======Hosts File======

127.0.0.1 ***.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 ***.008k.com
127.0.0.1 008k.com
127.0.0.1 ***.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 ***.032439.com
127.0.0.1 032439.com

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 35 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2302
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------


MfG
Basti


Alt 08.12.2008, 23:08   #6
Basti #52
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Code:
ATTFilter
Logfile of random's system information tool 1.04 (written by random/random)
Run by *** at 2008-12-05 13:21:46
Microsoft Windows XP Professional Service Pack 3
System drive C: has 27 GB (75%) free of 35 GB
Total RAM: 2047 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:53, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\Rundll32.exe
E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\taskmagr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Basti\Desktop\RSIT.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\mpas-fe_bd.exe
C:\Dokumente und Einstellungen\***\Desktop\Basti.exe
g:\c3ff8e930bdf46a4528d2163\mpsigstub.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - e:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - e:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219495645140
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228374096968
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15105/CTPID.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7002 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\MP Scheduled Scan.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
Winamp Toolbar Loader - C:\Programme\Winamp Toolbar\winamptb.dll [2008-07-16 1266992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
FGCatchUrl - e:\Programme\FlashGet\jccatch.dll [2007-08-06 94308]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F156768E-81EF-470C-9057-481BA8380DBA}]
FlashGet GetFlash Class - e:\Programme\FlashGet\getflash.dll [2007-05-18 163840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Winamp Toolbar - C:\Programme\Winamp Toolbar\winamptb.dll [2008-07-16 1266992]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-01-21 61440]
"CTAPR2"=C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe [2007-02-15 57344]
"VolPanel"=C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe [2007-02-28 180224]
"SPIRun"=Rundll32 SPIRun.dll []
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"Adobe Reader Speed Launcher"=E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"Windows Defender"=C:\Programme\Windows Defender\MSASCui.exe [2006-11-03 866584]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\PROGRA~1\ICQ6\ICQ.exe [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
C:\Programme\Winamp Remote\bin\OrbTray.exe [2008-04-01 507904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
e:\Programme\Winamp\winampa.exe [2008-08-04 36352]

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-07-04 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WINDOW~4\MpShHook.dll [2006-11-03 83224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"E:\Programme\FlashGet\flashget.exe"="E:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget"
"C:\Programme\Winamp Remote\bin\Orb.exe"="C:\Programme\Winamp Remote\bin\Orb.exe:*:Enabled:Orb"
"C:\Programme\Winamp Remote\bin\OrbTray.exe"="C:\Programme\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray"
"C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"G:\Codemasters\Der Herr der Ringe Online\lotroclient.exe"="G:\Codemasters\Der Herr der Ringe Online\lotroclient.exe:*:Enabled:lotroclient"
"E:\Programme\Xfire\xfire.exe"="E:\Programme\Xfire\xfire.exe:*:Enabled:Xfire"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"G:\Call of Duty 4 - Modern Warfare\iw3mp.exe"="G:\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"G:\Call of Duty 2\CoD2MP_s.exe"="G:\Call of Duty 2\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"G:\Call of Duty - World at War\CoDWaW.exe"="G:\Call of Duty - World at War\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM) "
"G:\Call of Duty - World at War\CoDWaWmp.exe"="G:\Call of Duty - World at War\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM) "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2008-12-05 13:21:46 ----D---- C:\rsit
2008-12-04 15:29:12 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2008-12-04 15:29:12 ----A---- C:\WINDOWS\system32\mucltui.dll
2008-12-04 11:57:00 ----D---- C:\WINDOWS\system32\appmgmt
2008-12-04 07:15:28 ----D---- C:\Programme\Windows Defender
2008-11-25 20:53:12 ----D---- C:\Programme\Spybot - Search & Destroy
2008-11-25 20:53:12 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spybot - Search & Destroy
2008-11-13 19:33:51 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2008-11-13 19:33:51 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2008-11-13 19:33:51 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2008-11-13 19:33:51 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2008-11-13 19:33:50 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2008-11-13 19:33:49 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2008-11-13 19:33:49 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2008-11-13 19:33:49 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2008-11-13 19:33:49 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2008-11-13 19:33:49 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2008-11-13 19:33:48 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2008-11-13 19:33:48 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2008-11-13 19:33:48 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2008-11-13 19:33:48 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2008-11-13 19:33:10 ----D---- C:\WINDOWS\Logs
2008-11-13 19:30:18 ----A---- C:\WINDOWS\system32\pbsvc.exe
2008-11-13 00:08:19 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2008-11-13 00:08:16 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2008-11-13 00:08:11 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$

======List of files/folders modified in the last 1 months======

2008-12-05 13:21:49 ----D---- C:\WINDOWS\Prefetch
2008-12-05 13:21:47 ----D---- C:\WINDOWS\Temp
2008-12-05 13:21:17 ----D---- C:\WINDOWS\system32\CatRoot2
2008-12-05 13:19:25 ----D---- C:\WINDOWS
2008-12-05 01:34:24 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-12-04 15:29:13 ----D---- C:\WINDOWS\system32
2008-12-04 15:29:12 ----HD---- C:\WINDOWS\inf
2008-12-04 14:28:26 ----D---- C:\WINDOWS\Microsoft.NET
2008-12-04 14:28:25 ----RSD---- C:\WINDOWS\assembly
2008-12-04 11:57:00 ----SHD---- C:\WINDOWS\Installer
2008-12-04 11:56:59 ----RD---- C:\Programme
2008-12-04 11:28:58 ----SD---- C:\WINDOWS\Tasks
2008-12-04 08:05:37 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-12-04 08:05:34 ----D---- C:\WINDOWS\WinSxS
2008-12-04 08:05:16 ----D---- C:\Programme\Internet Explorer
2008-12-04 08:01:40 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-12-04 07:15:28 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2008-11-30 17:46:56 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2008-11-30 17:42:12 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2008-11-30 17:02:01 ----D---- C:\WINDOWS\system32\drivers
2008-11-28 19:26:57 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-11-24 18:58:31 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-11-19 18:02:48 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-11-18 18:43:44 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2008-11-18 18:43:43 ----D---- C:\WINDOWS\Registration
2008-11-18 18:43:34 ----D---- C:\WINDOWS\system32\DirectX
2008-11-18 17:58:14 ----D---- C:\WINDOWS\Help
2008-11-13 19:38:00 ----HD---- C:\Programme\InstallShield Installation Information
2008-11-13 19:30:18 ----A---- C:\WINDOWS\system32\PnkBstrA.exe
2008-11-13 00:08:19 ----HD---- C:\WINDOWS\$hf_mig$
2008-11-13 00:08:18 ----A---- C:\WINDOWS\imsins.BAK

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R2 PfModNT;PfModNT; \??\C:\WINDOWS\system32\drivers\PfModNT.sys []
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-07-04 3230720]
R3 ATIAVAIW;ATI T200 Unified AVStream service; C:\WINDOWS\system32\DRIVERS\atinavt2.sys [2008-05-15 171520]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\DRIVERS\ctsfm2k.sys [2005-12-08 142336]
R3 CTUSFSYN;Creative SoundFont Synthesizer; C:\WINDOWS\system32\drivers\ctusfsyn.sys [2007-02-27 171008]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-11-30 25280]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-04-06 33536]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-04-06 12928]
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\DRIVERS\ctoss2k.sys [2005-12-08 114688]
R3 t3;Sound Blaster X-Fi Xtreme Audio; C:\WINDOWS\system32\drivers\t3.sys [2007-03-29 733184]
R3 t3filt;t3filt; C:\WINDOWS\system32\drivers\t3filt.sys [2007-02-20 1656576]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-07-04 561152]
R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-03-04 118784]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\system32\CTsvcCDA.exe [1999-12-12 44032]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-11-13 66872]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R2 WinDefend;Windows Defender; C:\Programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-07-03 593920]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-03-04 315392]

-----------------EOF-----------------
         

Geändert von Basti #52 (08.12.2008 um 23:14 Uhr)

Alt 09.12.2008, 08:46   #7
Chris4You
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hi,

bin jetzt über RSIT drübergegangen, folgende Files noch prüfen.
Beim fixen unbedingt Spybot und den Teatimer deaktivieren, sonst funktioniert das nicht!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\taskmagr.exe
g:\c3ff8e930bdf46a4528d2163\mpsigstub.exe
C:\WINDOWS\system32\mucltui.dll
C:\WINDOWS\system32\drivers\t3filt.sys
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\taskmagr.exe
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
         
Danach ein neues HJ-Log;

Scann mit Prevx:
http://www.prevx.com/freescan.asp

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Poste von beiden eventuelle Funde!

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.12.2008, 10:34   #8
Basti #52
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hallo Chris,
heut morgen kam wieder diese Werbung. Habe dann mal die "taskmagr.exe" im Prozess beendet und es war nix mehr zu höhren. Habe danach mal nen PC Neustart gemacht und sofort kam die Werbung wieder. Also wird es wphl an dieser Datei liegen

Hier noch mal die Ergebnisse von Virtustotal.
Leider konnte ich die g:\c3ff8e930bdf46a4528d2163\mpsigstub.exe nicht finden bei mir.

taskmagr.exe
Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Agent.98304.FX 
AntiVir 7.9.0.43 2008.12.09 TR/Agent.okm.98304 
Authentium 5.1.0.4 2008.12.08 - 
Avast 4.8.1281.0 2008.12.08 - 
AVG 8.0.0.199 2008.12.08 - 
BitDefender 7.2 2008.12.09 Trojan.Generic.1220660 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 - 
Comodo 713 2008.12.09 - 
DrWeb 4.44.0.09170 2008.12.09 - 
eSafe 7.0.17.0 2008.12.08 - 
eTrust-Vet 31.6.6246 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 - 
F-Secure 8.0.14332.0 2008.12.09 Trojan.Win32.Agent.atex 
Fortinet 3.117.0.0 2008.12.09 - 
GData 19 2008.12.09 Trojan.Generic.1220660 
Ikarus T3.1.1.45.0 2008.12.08 - 
K7AntiVirus 7.10.548 2008.12.08 - 
Kaspersky 7.0.0.125 2008.12.09 Trojan.Win32.Agent.atex 
McAfee 5458 2008.12.08 - 
McAfee+Artemis 5458 2008.12.09 Generic!Artemis 
Microsoft 1.4205 2008.12.09 - 
NOD32 3675 2008.12.09 probably a variant of Win32/Agent.OKM 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 Suspicious file 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 Malicious Software 
Rising 21.07.02.00 2008.12.08 - 
SecureWeb-Gateway 6.7.6 2008.12.09 Trojan.Agent.okm.98304 
Sophos 4.36.0 2008.12.09 Mal/Behav-204 
Sunbelt 3.1.1832.2 2008.12.01 - 
Symantec 10 2008.12.09 - 
TheHacker 6.3.1.2.180 2008.12.09 - 
TrendMicro 8.700.0.1004 2008.12.09 TROJ_AGENT.AQPX 
VBA32 3.12.8.10 2008.12.09 - 
ViRobot 2008.12.9.1508 2008.12.09 - 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 98304 bytes 
MD5...: c0a90ee29f1cc4689d94db628e87a0c8 
SHA1..: c390412e1be4ae8d111a70dc038e32c35aba7967 
SHA256: 4bff537e3246ca93c82dd22f9f4526cecddbb5f97afd62128cbe15af40554744 
SHA512: 500c8ae24f7939a422eacb8981d5787544c323d2955ca51a6607076521498bad
f873277625a6b0ccfcec51f3a481e8672a4449e797cafde6ce7235df439d8288
 
ssdeep: 1536:nhc7zscICJOaVFlt2vHw2DhqN93xMxq0xEGz0NKwBg:nhA4cIFaVFl2wbxM
xlEGeKwB
 
PEiD..: Armadillo v1.71 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41515f
timedatestamp.....: 0x49303993 (Fri Nov 28 18:33:55 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1468e 0x15000 6.63 fc5752b817c6a8328869b6b9740854e5
.rdata 0x16000 0xde0 0x1000 4.54 58a8a7e4a0e925f966b94dc703b96e76
.data 0x17000 0x14f0 0x1000 7.71 6728931e89f2ad0d9915a9ae0a4e9256

( 7 imports ) 
> KERNEL32.dll: lstrlenW, LeaveCriticalSection, EnterCriticalSection, WriteFile, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetVolumeInformationA, GetProcAddress, FreeLibrary, LoadLibraryA, DeleteFileA, ReleaseMutex, WideCharToMultiByte, WaitNamedPipeA, GetLastError, CreateMutexA, GetSystemDirectoryA, GetTempPathA, InitializeCriticalSection, DeleteCriticalSection, SuspendThread, WinExec, ResumeThread, MoveFileExA, CreateThread, GetStartupInfoA, GetModuleHandleA, lstrlenA, Sleep, MultiByteToWideChar, WaitForSingleObject, GetPrivateProfileStringA
> USER32.dll: CharLowerA, SystemParametersInfoA, CharUpperA, ShowWindow, SendMessageA, SetCursorPos, ClientToScreen, FindWindowExA, RegisterWindowMessageA, SendMessageTimeoutA, FindWindowA, GetWindowThreadProcessId, mouse_event, SetForegroundWindow
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize
> OLEAUT32.dll: -, -, -, -
> MSVCRT.dll: strncpy, _stricmp, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, localtime, strncmp, strstr, free, sprintf, atoi, malloc, __CxxFrameHandler, rand, wcscmp, _strlwr, srand, time
> NETAPI32.dll: Netbios

( 0 exports ) 
 
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=F7669778007399B1807601608E9E9200996F1975' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F7669778007399B1807601608E9E9200996F1975</a> 
ThreatExpert info: <a href='h**p://www.threatexpert.com/report.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8</a> 
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8</a>
         
mucltui.dll
Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 - 
AntiVir 7.9.0.43 2008.12.09 - 
Authentium 5.1.0.4 2008.12.08 - 
Avast 4.8.1281.0 2008.12.08 - 
AVG 8.0.0.199 2008.12.08 - 
BitDefender 7.2 2008.12.09 - 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 - 
Comodo 713 2008.12.09 - 
DrWeb 4.44.0.09170 2008.12.09 - 
eSafe 7.0.17.0 2008.12.08 - 
eTrust-Vet 31.6.6246 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 - 
F-Secure 8.0.14332.0 2008.12.09 - 
Fortinet 3.117.0.0 2008.12.09 - 
GData 19 2008.12.09 - 
Ikarus T3.1.1.45.0 2008.12.08 - 
K7AntiVirus 7.10.548 2008.12.08 - 
Kaspersky 7.0.0.125 2008.12.09 - 
McAfee 5458 2008.12.08 - 
McAfee+Artemis 5458 2008.12.09 - 
Microsoft 1.4205 2008.12.09 - 
NOD32 3675 2008.12.09 - 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 - 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 - 
Rising 21.07.02.00 2008.12.08 - 
SecureWeb-Gateway 6.7.6 2008.12.09 - 
Sophos 4.36.0 2008.12.09 - 
Sunbelt 3.1.1832.2 2008.12.01 - 
Symantec 10 2008.12.09 - 
TheHacker 6.3.1.2.180 2008.12.09 - 
TrendMicro 8.700.0.1004 2008.12.09 - 
VBA32 3.12.8.10 2008.12.09 - 
ViRobot 2008.12.9.1508 2008.12.09 - 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 268648 bytes 
MD5...: 7125cfff3a8ab60a8299e9d4c64e7bb3 
SHA1..: 3673b78e7a912aa659f3c84566d9cf0ea39e58f3 
SHA256: 339044a6f0d39d336b683495a00966809debea47724675c2927484abe9e7e88c 
SHA512: 0aaf78d9173fb794d061ad40e1c8f85ce2f443ae405bdcf52c7002df3d9875d3
b96e9e27a4c7f21f2b9c57826895455752b572297f2479dadbb32200f8f238de
 
ssdeep: 6144:58UUj9q+s8MCapEbjqyS9B0KY5nd6YQtqYX6RH5:5RUjMP8h00WySf0KY5n
d6YQthX2H5
 
PEiD..: - 
TrID..: File type identification
DirectShow filter (53.7%)
Windows OCX File (32.9%)
Win32 Executable MS Visual C++ (generic) (10.0%)
Win32 Executable Generic (2.2%)
Generic Win/DOS Executable (0.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x509f0111
timedatestamp.....: 0x48f7aa70 (Thu Oct 16 20:56:16 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19fa4 0x1a000 6.33 f403f06014770cb9bf32f469a59527a3
.data 0x1b000 0xf70 0x400 6.08 2d746fa0c744cfcc61f84b002c251229
.rsrc 0x1c000 0x238d0 0x23a00 5.29 416e5b0bbb21fd9d77a816f21def79ff
.reloc 0x40000 0x1bba 0x1c00 4.52 8dfb3272c72730b4438d49575c65ca3b

( 14 imports ) 
> msvcrt.dll: wcsstr, _wtoi, _wtol, wcsrchr, ___V@YAXPAX@Z, __2@YAPAXI@Z, malloc, free, memcpy, wcsncpy, _onexit, _lock, __dllonexit, _unlock, realloc, _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _purecall, _errno, memmove, _vsnwprintf, memset, ___U@YAPAXI@Z, __3@YAXPAX@Z
> ADVAPI32.dll: SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessAllowedAce, InitializeAcl, GetLengthSid, RegDeleteKeyW, RegCloseKey, RegCreateKeyExW, RegOpenKeyExW, RegSetValueExW, RegQueryInfoKeyW, RegEnumKeyExW, GetUserNameW, RegQueryValueExW, AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegDeleteValueW
> COMCTL32.dll: InitCommonControlsEx
> KERNEL32.dll: VerifyVersionInfoW, VerSetConditionMask, GetVersionExW, SystemTimeToFileTime, GetTimeZoneInformation, HeapReAlloc, LockResource, FindResourceExW, GetSystemWindowsDirectoryW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCommandLineW, InterlockedCompareExchange, InterlockedExchange, lstrlenW, RaiseException, InitializeCriticalSection, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpiW, FreeLibrary, GetSystemDirectoryW, GetModuleFileNameW, DisableThreadLibraryCalls, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, GetTickCount, CreateProcessW, LocalFree, FormatMessageW, GetTimeFormatW, SystemTimeToTzSpecificLocalTime, GetProcAddress, HeapAlloc, HeapFree, GetProcessHeap, CompareStringW, GetSystemInfo, GetVersionExA, WideCharToMultiByte, CompareStringA, Sleep, OutputDebugStringA, RtlUnwind, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, OutputDebugStringW, WriteFile, FlushFileBuffers, GetSystemTime, GetSystemDefaultUILanguage, GetUserDefaultUILanguage, IsValidLocale, GetDateFormatW, GetLocaleInfoW, ConvertDefaultLocale, GetNumberFormatW, ExpandEnvironmentStringsW, GetFileAttributesW, GetFileSizeEx, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, CreateDirectoryW, CreateFileW, InitializeCriticalSectionAndSpinCount, ReadFile, GetDriveTypeW, GetVolumePathNameW, SetLastError, GetFileType
> ole32.dll: CoTaskMemRealloc, CoTaskMemFree, StringFromGUID2, CoCreateInstance, CoTaskMemAlloc, CoCreateGuid
> OLEAUT32.dll: -, -, -, -, -, -, -, -
> SHELL32.dll: ShellExecuteW, Shell_NotifyIconW
> USER32.dll: GetSysColor, DrawFrameControl, LoadBitmapW, ShowScrollBar, EnableWindow, PostMessageW, IsIconic, GetWindowTextLengthW, RedrawWindow, UpdateWindow, SetFocus, GetDC, SetRect, DrawTextW, CreateWindowExW, ReleaseDC, IsDlgButtonChecked, CheckDlgButton, SendDlgItemMessageW, GetParent, GetWindowLongW, SetWindowLongW, DestroyIcon, GetDlgItem, SetWindowTextW, GetSystemMetrics, LoadImageW, SendMessageW, SetWindowPos, LoadStringW, CharNextW, ShowWindow, SetTimer, SetForegroundWindow, KillTimer, IsWindowVisible, DestroyWindow, GetClientRect, PtInRect, GetDlgCtrlID, InvalidateRect, CopyRect, GetFocus, ReleaseCapture, SetCapture, UnregisterClassA, SetDlgItemTextW, DialogBoxParamW, CreateDialogParamW, MapWindowPoints, GetWindowRect, GetWindowTextW, GetWindow, SystemParametersInfoW, DrawAnimatedRects, FindWindowExW, FindWindowW, DefWindowProcW, RegisterClassExW, GetClassInfoExW, EndDialog, BeginPaint, EndPaint, ScreenToClient, SetCursor, LoadCursorW, FillRect, DrawFocusRect, TrackMouseEvent
> GDI32.dll: SetBkColor, CreateFontIndirectW, CreateRectRgn, DeleteObject, SelectObject, GetObjectW, ExtTextOutW, SelectClipRgn, GetTextExtentPoint32W, SetTextColor, CreateRectRgnIndirect, SetBkMode, GetTextMetricsW
> RPCRT4.dll: RpcStringFreeA, UuidToStringA
> SHLWAPI.dll: PathStripToRootW, PathIsUNCW, PathIsRootW, StrRChrW, StrChrW, PathStripPathW, PathIsRelativeW
> Cabinet.dll: -, -, -, -
> CRYPT32.dll: CertFreeCertificateContext, CertFindCertificateInStore, CertControlStore, CryptHashPublicKeyInfo, CertOpenStore, CertVerifyCertificateChainPolicy, CertGetCertificateContextProperty, CertCloseStore
> WINTRUST.dll: WTHelperGetProvCertFromChain, WTHelperGetProvSignerFromChain, WTHelperProvDataFromStateData, WinVerifyTrust

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
         
t3filt.sys
Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 - 
AntiVir 7.9.0.43 2008.12.09 - 
Authentium 5.1.0.4 2008.12.08 - 
Avast 4.8.1281.0 2008.12.08 - 
AVG 8.0.0.199 2008.12.08 - 
BitDefender 7.2 2008.12.09 - 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 - 
Comodo 713 2008.12.09 - 
DrWeb 4.44.0.09170 2008.12.09 - 
eSafe 7.0.17.0 2008.12.08 - 
eTrust-Vet 31.6.6245 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 - 
F-Secure 8.0.14332.0 2008.12.09 - 
Fortinet 3.117.0.0 2008.12.09 - 
GData 19 2008.12.09 - 
Ikarus T3.1.1.45.0 2008.12.08 - 
K7AntiVirus 7.10.548 2008.12.08 - 
Kaspersky 7.0.0.125 2008.12.09 - 
McAfee 5458 2008.12.08 - 
McAfee+Artemis 5458 2008.12.09 - 
Microsoft 1.4205 2008.12.09 - 
NOD32 3675 2008.12.09 - 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 - 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 - 
Rising 21.07.02.00 2008.12.08 - 
SecureWeb-Gateway 6.7.6 2008.12.09 - 
Sophos 4.36.0 2008.12.09 - 
Sunbelt 3.1.1832.2 2008.12.01 - 
Symantec 10 2008.12.09 - 
TheHacker 6.3.1.2.180 2008.12.09 - 
TrendMicro 8.700.0.1004 2008.12.09 - 
VBA32 3.12.8.10 2008.12.09 - 
ViRobot 2008.12.9.1508 2008.12.09 - 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 1656576 bytes 
MD5...: 56ab74ae2da9393ec266281f9a504d68 
SHA1..: b7996f6acad41dc5465f22d4bc43a075d65b2df0 
SHA256: ec60b37d31754a140f28a9da4e9c49ab9fbc23dc1660b834486c55bf2556ad01 
SHA512: 251959ee826d3b08f4a8c2f703f4df03a4c6c8c1134bffa7ed0a17ca460649b3
702e1c14e1e9ecb50a673a5ccf203d6c079f02dcc99448805f82f3f9270dff5c
 
ssdeep: 49152:rjHFBJ+2jNKwG/vVeGuhmhMJq+Fips6kQWYGH:nHTJ+2jNKwG1uidkQWP
 
PEiD..: - 
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xdefb0
timedatestamp.....: 0x45daff54 (Tue Feb 20 14:01:56 2007)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0xa14f6 0xa1500 6.66 88daf4dcabe5aea7bc44db511e15d2b0
page 0xa1880 0x2d66a 0x2d680 6.34 6752f410bb47051165d2d32406f198dd
init 0xcef00 0x380 0x380 5.97 1d6eb2ebcfff2684045700bb68c73836
.data 0xcf280 0x62a1c 0x62a80 4.34 9b933c0a31403cdca6a86cd27b32b36f
init 0x131d00 0xc 0x80 0.49 3317b4216d0f3e52be88f73e995bd23c
_PDATA 0x131d80 0x54a08 0x54a80 6.51 9cb1e627c2a3290ec3e5b97578456089
INIT 0x186800 0x71e 0x780 5.22 4ff81d5539914697b66270d636291cc3
.rsrc 0x186f80 0x2a8 0x300 2.97 179cc968d6b1fdf9041fe0376fbf0086
.reloc 0x187280 0xd416 0xd480 6.44 9b9f190e4018dd92af33546b74e55040

( 3 imports ) 
> ntoskrnl.exe: RtlStringFromGUID, KeReleaseSemaphore, ObfDereferenceObject, KeSetEvent, ObReferenceObjectByHandle, ExEventObjectType, InterlockedIncrement, InterlockedDecrement, _purecall, RtlCompareUnicodeString, RtlCompareMemory, KeInitializeMutex, KeGetCurrentThread, KeWaitForSingleObject, KeReleaseMutex, ZwClose, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, ZwCreateFile, KeResetEvent, InterlockedExchange, KeCancelTimer, KeClearEvent, InterlockedCompareExchange, RtlFreeUnicodeString, PsTerminateSystemThread, KeInitializeTimer, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExFreePool, IoAllocateMdl, IoAllocateIrp, IoFreeIrp, IoFreeMdl, MmUnlockPages, MmMapLockedPages, MmProbeAndLockPages, _except_handler3, IoGetDeviceProperty, IofCompleteRequest, IoReleaseCancelSpinLock, IoDeleteDevice, IoDetachDevice, PoCallDriver, PoStartNextPowerIrp, IoAttachDeviceToDeviceStack, IoCreateDevice, IoWMIRegistrationControl, KeQuerySystemTime, KeSetTimer, RtlEqualUnicodeString, wcslen, RtlInitUnicodeString, IoGetDeviceInterfaces, swprintf, _aulldiv, _allmul, ZwQueryValueKey, ZwSetValueKey, ZwCreateKey, ZwOpenKey, IoIsWdmVersionAvailable, KeDelayExecutionThread, MmBuildMdlForNonPagedPool, ExAllocatePoolWithTag, RtlRaiseException, KeBugCheckEx
> ks.sys: KsCreatePin
> HAL.dll: KeQueryPerformanceCounter

( 0 exports )
         

Geändert von Basti #52 (09.12.2008 um 10:41 Uhr)

Alt 09.12.2008, 11:07   #9
Basti #52
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Bei Avira wurde nix gefunden und das Ergebnis von PrevxCSI habe ich angehangen

Avenger:

Code:
ATTFilter
le of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\taskmagr.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
HJ-LOG:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:50:22, on 09.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\Rundll32.exe
E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Basti\Desktop\Basti.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - e:\Programme\FlashGet\jccatch.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - e:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219495645140
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228374096968
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/softwareupdate/su2/ocx/15105/CTPID.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6097 bytes
         
Miniaturansicht angehängter Grafiken
-prevxcsi.jpg  

Alt 09.12.2008, 11:23   #10
Chris4You
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hi,

das ist sehr Interessant, die haben einen neuen Aufhängepunkt für den Start gefunden, den wir mit unseren Tools nicht sehen...

Bitte folgende Files prüfen lasen, mal sehen welcher Scanner sie erkennt:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\windows\system32\winshl.dll
C:\windows\system32\Oemspi.dll
C:\windows\system32\msbios.dll
C:\windows\system32\wmdmpmsvc.dll
C:\windows\system32\gdimnt.dll
C:\windows\system32\msfontskr.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\windows\system32\winshl.dll
C:\windows\system32\Oemspi.dll
C:\windows\system32\msbios.dll
C:\windows\system32\wmdmpmsvc.dll
C:\windows\system32\gdimnt.dll
C:\windows\system32\msfontskr.dll
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

So, dann schauen wir mal ob Combofix was findet...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.12.2008, 13:00   #11
Basti #52
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Und auf ein neues

winshl.dll

Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Xema.variant 
AntiVir 7.9.0.43 2008.12.09 TR/Crypt.XPACK.Gen 
Authentium 5.1.0.4 2008.12.08 W32/STZ_like!Generic 
Avast 4.8.1281.0 2008.12.08 Win32:VunDrop 
AVG 8.0.0.199 2008.12.08 Downloader.Agent.AOFQ 
BitDefender 7.2 2008.12.09 Trojan.Agent.AKQC 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 - 
Comodo 713 2008.12.09 - 
DrWeb 4.44.0.09170 2008.12.09 - 
eSafe 7.0.17.0 2008.12.08 Suspicious File 
eTrust-Vet 31.6.6246 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 W32/STZ_like!Generic 
F-Secure 8.0.14332.0 2008.12.09 - 
Fortinet 3.117.0.0 2008.12.09 - 
GData 19 2008.12.09 Trojan.Agent.AKQC 
Ikarus T3.1.1.45.0 2008.12.08 Virus.Win32.VunDrop 
K7AntiVirus 7.10.549 2008.12.09 Trojan.Win32.Malware.1 
Kaspersky 7.0.0.125 2008.12.09 - 
McAfee 5458 2008.12.08 Generic.dx 
McAfee+Artemis 5458 2008.12.09 Generic.dx 
Microsoft 1.4205 2008.12.09 Trojan:Win32/Mesoum.A 
NOD32 3675 2008.12.09 a variant of Win32/Agent.THO 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 Generic Trojan 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 Cloaked Malware 
Rising 21.07.12.00 2008.12.09 - 
SecureWeb-Gateway 6.7.6 2008.12.09 Trojan.Crypt.XPACK.Gen 
Sophos 4.36.0 2008.12.09 Mal/Behav-204 
Sunbelt 3.1.1832.2 2008.12.01 Trojan.Agent.AKQC 
Symantec 10 2008.12.09 Trojan Horse 
TheHacker 6.3.1.2.180 2008.12.09 - 
TrendMicro 8.700.0.1004 2008.12.09 TROJ_MESOUM.AE 
VBA32 3.12.8.10 2008.12.09 - 
ViRobot 2008.12.9.1508 2008.12.09 - 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 65536 bytes 
MD5...: 1347d50c3db7413226010e3f4ac0b0cb 
SHA1..: 45d1b3bb53117be15e122ad291dd76edb1206b56 
SHA256: 4e3c1f9f1dcac4fb44083faffc27a2639b5e7c6669830e30ae6f8b7c8ac295bf 
SHA512: 673533f15ecca14e376dd94ac2d090efd385c76ce5a2d8771e14114c7ad522ac
f4b836589d05ba3e18c22bd6dbbaba70137d26fa64ce1940056baa751a69d8ac
 
ssdeep: 1536:zV73O+7o+S8Fj1hikAl8Yxjfm1Of9tPrLXh+uGX1:zVqzEjWkA6YxLm1ytP
vRw
 
PEiD..: - 
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x712cb745
timedatestamp.....: 0x48e1d4d0 (Tue Sep 30 07:27:12 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xda20 0xdc00 7.98 d8d7445645f68e87d981d078fb87140a
.rdata 0xf000 0xb94 0xc00 7.83 c827a80eb8bf74da46183c1c58c5288d
.data 0x10000 0xc4c 0xe00 7.42 a4f9a5eb8b67eaefe858e2bc6776fa1f
.reloc 0x11000 0x5d4 0x600 7.80 447d5fab67dbc82fd6662b9f2dd56d99

( 0 imports ) 

( 0 exports ) 
 
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1347d50c3db7413226010e3f4ac0b0cb' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1347d50c3db7413226010e3f4ac0b0cb</a> 
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=BA9892CC008E0D2200820103B3A18D005F9D5FD8' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=BA9892CC008E0D2200820103B3A18D005F9D5FD8</a>
         
Oemspi.dll

Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 - 
AntiVir 7.9.0.43 2008.12.09 - 
Authentium 5.1.0.4 2008.12.08 - 
Avast 4.8.1281.0 2008.12.08 - 
AVG 8.0.0.199 2008.12.08 - 
BitDefender 7.2 2008.12.09 - 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 - 
Comodo 713 2008.12.09 - 
DrWeb 4.44.0.09170 2008.12.09 - 
eSafe 7.0.17.0 2008.12.08 - 
eTrust-Vet 31.6.6245 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 - 
F-Secure 8.0.14332.0 2008.12.09 - 
Fortinet 3.117.0.0 2008.12.09 - 
GData 19 2008.12.09 - 
Ikarus T3.1.1.45.0 2008.12.08 - 
K7AntiVirus 7.10.549 2008.12.09 - 
Kaspersky 7.0.0.125 2008.12.09 - 
McAfee 5458 2008.12.08 - 
McAfee+Artemis 5458 2008.12.09 - 
Microsoft 1.4205 2008.12.09 - 
NOD32 3675 2008.12.09 - 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 - 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 Cloaked Malware 
Rising 21.07.12.00 2008.12.09 - 
SecureWeb-Gateway 6.7.6 2008.12.09 - 
Sophos 4.36.0 2008.12.09 - 
Sunbelt 3.1.1832.2 2008.12.01 - 
Symantec 10 2008.12.09 - 
TheHacker 6.3.1.2.180 2008.12.09 - 
TrendMicro 8.700.0.1004 2008.12.09 - 
VBA32 3.12.8.10 2008.12.09 - 
ViRobot 2008.12.9.1508 2008.12.09 - 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 137728 bytes 
MD5...: f11def8e42d7f7fb0a937f21c0fe1776 
SHA1..: fa7fa07789ecc0f18221b28dbffa8e6765a9963a 
SHA256: 6d864f017fb0ba69fdc8ffcb5eb3619d2fb6223fd4497c530bfe233a448587d9 
SHA512: f57da19b6b5f82dba1f8fd8a2b78b98d1efd1dc429be15abe60a2d67821bd0cb
5b1b87c56cae561c04703293393d01afa5b9a98ee33582b89f884771d354dcab
 
ssdeep: 3072:NlyKXHayfJMuccdRuGZhO+4hVnfxEYLxUMAHw:NxXHayBMuccjuGnRInfvL
KPH
 
PEiD..: - 
TrID..: File type identification
DirectShow filter (46.7%)
Windows OCX File (28.6%)
Win64 Executable Generic (19.8%)
Win32 Executable Generic (1.9%)
Win32 Dynamic Link Library (generic) (1.7%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41ca65
timedatestamp.....: 0x45d4fbd8 (Fri Feb 16 00:33:28 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1c923 0x1ca00 6.54 3fa4bcd7951bc02cb7c3096d3a0a3c7d
.data 0x1e000 0x428 0x400 2.97 760e9b7c0b210c8591c14da66071b8e8
.rsrc 0x1f000 0x2838 0x2a00 4.17 817960d94d08c90c1575d9eb13591f0a
.reloc 0x22000 0x1d30 0x1e00 6.34 8ec0871ca0c09ba478badeada52faed6

( 11 imports ) 
> KERNEL32.dll: LeaveCriticalSection, EnterCriticalSection, HeapDestroy, DisableThreadLibraryCalls, lstrcatA, lstrcpynA, lstrcpyA, GetModuleFileNameA, FreeLibrary, GetProcAddress, LoadLibraryA, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, DeviceIoControl, LocalAlloc, LocalFree, CreateMutexA, CloseHandle, WaitForSingleObject, ReleaseMutex, lstrcmpiA, OpenProcess, GetCurrentProcessId, lstrcmpA, DuplicateHandle, GetCurrentProcess, CreateEventA, SetEvent, WaitForMultipleObjects, CreateThread, CompareStringA, OutputDebugStringA, ResetEvent, WritePrivateProfileStringA, GetPrivateProfileIntA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDBCSLeadByte, InterlockedDecrement, lstrlenA, InterlockedIncrement, DeleteCriticalSection, InitializeCriticalSection, Sleep, GetLastError, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, CreateFileA, GetVersionExA
> msvcrt.dll: __2@YAPAXI@Z, __3@YAXPAX@Z, realloc, free, malloc, _except_handler3, _purecall, _vsnprintf, strchr, _initterm, _adjust_fdiv
> USER32.dll: CharNextA, CharPrevA, RegisterClassExA, CreateWindowExA, DefWindowProcA, UnregisterDeviceNotification, UnregisterClassA, RegisterDeviceNotificationA, DestroyWindow, GetWindowLongA
> ADVAPI32.dll: RegDeleteKeyA, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegSetValueExA, RegQueryInfoKeyA, RegEnumValueA, RegEnumKeyExA, RegCreateKeyA, RegQueryValueExA, SetNamedSecurityInfoA, RegDeleteValueA
> WINMM.dll: mixerGetDevCapsA, mixerGetNumDevs, mixerClose, mixerOpen, mixerGetLineInfoA, mixerGetControlDetailsA, mixerGetLineControlsA, mixerSetControlDetails
> ole32.dll: CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -
> DSOUND.dll: -, -
> SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInterfaceDetailA, SetupDiEnumDeviceInterfaces, SetupDiGetClassDevsA
> SHFOLDER.dll: SHGetFolderPathA
> SHELL32.dll: SHCreateDirectoryExA

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=B628C74F007567C91A2A029A1BDEE500C9D47BBF' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=B628C74F007567C91A2A029A1BDEE500C9D47BBF</a> 
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f11def8e42d7f7fb0a937f21c0fe1776' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f11def8e42d7f7fb0a937f21c0fe1776</a>
         
msbios.dll

Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Agent.64512.BL 
AntiVir 7.9.0.43 2008.12.09 TR/Crypt.XPACK.Gen 
Authentium 5.1.0.4 2008.12.08 W32/STZ_like!Generic 
Avast 4.8.1281.0 2008.12.08 Win32:VunDrop 
AVG 8.0.0.199 2008.12.08 Agent_r.EK 
BitDefender 7.2 2008.12.09 Trojan.Generic.911826 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 Trojan.Downloader-59674 
Comodo 713 2008.12.09 TrojWare.Win32.TrojanDownloader.Agent.amkv 
DrWeb 4.44.0.09170 2008.12.09 Trojan.DownLoad.12607 
eSafe 7.0.17.0 2008.12.08 Suspicious File 
eTrust-Vet 31.6.6245 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 W32/STZ_like!Generic 
F-Secure 8.0.14332.0 2008.12.09 Trojan-Downloader.Win32.Agent.amkv 
Fortinet 3.117.0.0 2008.12.09 - 
GData 19 2008.12.09 Trojan.Generic.911826 
Ikarus T3.1.1.45.0 2008.12.08 Virus.Win32.VunDrop 
K7AntiVirus 7.10.549 2008.12.09 Trojan-Downloader.Win32.Agent.amkv 
Kaspersky 7.0.0.125 2008.12.09 Trojan-Downloader.Win32.Agent.amkv 
McAfee 5458 2008.12.08 Generic.dx 
McAfee+Artemis 5458 2008.12.09 Generic.dx 
Microsoft 1.4205 2008.12.09 Trojan:Win32/Mesoum.A 
NOD32 3675 2008.12.09 a variant of Win32/Agent.THO 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 Generic Trojan 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 Worm 
Rising 21.07.12.00 2008.12.09 Trojan.Win32.Undef.sop 
SecureWeb-Gateway 6.7.6 2008.12.09 Trojan.Crypt.XPACK.Gen 
Sophos 4.36.0 2008.12.09 Mal/Generic-A 
Sunbelt 3.1.1832.2 2008.12.01 Trojan-Downloader.Win32.Agent.amkv 
Symantec 10 2008.12.09 Trojan Horse 
TheHacker 6.3.1.2.180 2008.12.09 Trojan/Downloader.Agent.amkv 
TrendMicro 8.700.0.1004 2008.12.09 TROJ_AGENT.ADJB 
VBA32 3.12.8.10 2008.12.09 Trojan-Downloader.Win32.Agent.amkv 
ViRobot 2008.12.9.1508 2008.12.09 Trojan.Win32.Downloader.64512.P 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 64512 bytes 
MD5...: 5c55430f358758d03c49a0ada3f0a200 
SHA1..: 257bc4579777fb5e2954b7b2022caaafb73b2af0 
SHA256: 2d8081f25e73f1404e3907f5af980b5077d77e3d07812705fa5b7408f264f17b 
SHA512: c076f4054918ce1677e037f2ef50ce7b4affce39770b9a8bd2d3ae2142a0c2bf
574fb2ceb4c933a26023cea4be99045400d80c2a4707a3993b7adb79f1fdadb3
 
ssdeep: 1536:L4hzC9CWj6DLcUa7g8B3/TundxkxAz2gLXWLDBfhOSAZh:CvWODLcX9BvTu
RKyW/BfhOHZh
 
PEiD..: - 
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7123b065
timedatestamp.....: 0x4905d64c (Mon Oct 27 14:55:08 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd8b0 0xda00 7.97 77c469020d55474a89dc126c36c7f1d2
.rdata 0xf000 0x924 0xa00 7.57 efc8ffd0d72d6ed33154e9080e14f8e1
.data 0x10000 0xafc 0xc00 7.59 d2dac1d9859fd484c0cb0af95fc0e9aa
.reloc 0x11000 0x610 0x800 6.71 412ea9fbdb7af859acc7567175f7da4d

( 0 imports ) 

( 0 exports ) 
 
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=61E9A16300CCB77EFC460006ACAD3800AF540BEA' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=61E9A16300CCB77EFC460006ACAD3800AF540BEA</a> 
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5c55430f358758d03c49a0ada3f0a200' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5c55430f358758d03c49a0ada3f0a200</a> 
ThreatExpert info: <a href='h**p://www.threatexpert.com/report.aspx?md5=5c55430f358758d03c49a0ada3f0a200' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=5c55430f358758d03c49a0ada3f0a200</a>
         
wmdmpmsvc.dll

Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Agent.15360.IE 
AntiVir 7.9.0.43 2008.12.09 BDS/Backdoor.Gen 
Authentium 5.1.0.4 2008.12.08 - 
Avast 4.8.1281.0 2008.12.08 Win32:Trojan-gen {Other} 
AVG 8.0.0.199 2008.12.08 Agent.AIZT 
BitDefender 7.2 2008.12.09 Backdoor.Agent.ZZT 
CAT-QuickHeal 10.00 2008.12.09 Trojan.Agent.alut 
ClamAV 0.94.1 2008.12.09 Trojan.Agent-63265 
Comodo 713 2008.12.09 TrojWare.Win32.Agent.alut 
DrWeb 4.44.0.09170 2008.12.09 Trojan.DownLoad.10027 
eSafe 7.0.17.0 2008.12.08 - 
eTrust-Vet 31.6.6246 2008.12.05 Win32/SillyDl.FZT 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 - 
F-Secure 8.0.14332.0 2008.12.09 Trojan.Win32.Agent.alut 
Fortinet 3.117.0.0 2008.12.09 PossibleThreat 
GData 19 2008.12.09 Backdoor.Agent.ZZT 
Ikarus T3.1.1.45.0 2008.12.08 Trojan.Win32.Agent 
K7AntiVirus 7.10.549 2008.12.09 Trojan.Win32.Agent.alut 
Kaspersky 7.0.0.125 2008.12.09 Trojan.Win32.Agent.alut 
McAfee 5458 2008.12.08 Generic.dx 
McAfee+Artemis 5458 2008.12.09 Generic.dx 
Microsoft 1.4205 2008.12.09 - 
NOD32 3675 2008.12.09 Win32/Agent.OKM 
Norman 5.80.02 2008.12.08 W32/Agent.JEPX 
Panda 9.0.0.4 2008.12.08 Trj/Downloader.MDW 
PCTools 4.4.2.0 2008.12.08 Trojan.Agent!sd6 
Prevx1 V2 2008.12.09 Cloaked Malware 
Rising 21.07.12.00 2008.12.09 Trojan.Win32.Undef.tdu 
SecureWeb-Gateway 6.7.6 2008.12.09 Trojan.Backdoor.Backdoor.Gen 
Sophos 4.36.0 2008.12.09 - 
Sunbelt 3.1.1832.2 2008.12.01 Trojan.Win32.Agent.alut 
Symantec 10 2008.12.09 Backdoor.Trojan 
TheHacker 6.3.1.2.180 2008.12.09 Trojan/Agent.alut 
TrendMicro 8.700.0.1004 2008.12.09 TROJ_AGENT.HKH 
VBA32 3.12.8.10 2008.12.09 Trojan.Win32.Agent.alut 
ViRobot 2008.12.9.1508 2008.12.09 Trojan.Win32.Agent.15360.AP 
VirusBuster 4.5.11.0 2008.12.08 Trojan.Agent.FFLC 
weitere Informationen 
File size: 15360 bytes 
MD5...: 8ff70baecd87300607b5417439a36ed9 
SHA1..: 5d14017da4a9fd707b1e08202243341578aec9fd 
SHA256: fa0cf71895b4caf39a4d0a92856e1fd95aec589b13c3b30e145b3caafe0df5b8 
SHA512: ab7916543e790c75555a0fc2d7d2c9d1561b3dfc72b5e7dde9e4c1d8aedd8e2d
8e3593ed1f9980a10121526dc736d2c9ed31a02ba1fbcfeb838ef651403c9cdd
 
ssdeep: 384:0/e41SGd11am1i+ftt1BPb6iKbAYO2iJCFi1Xn:P4rnB1vFlzcO2iJCo1Xn
 
PEiD..: Armadillo v1.xx - v2.xx 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x64703b1a
timedatestamp.....: 0x490f2a17 (Mon Nov 03 16:43:03 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2bc0 0x2c00 7.48 852d9d81eb0a8dfb06e0bac3153cb6f6
.rdata 0x4000 0x6a0 0x800 4.31 2d542f7ee7a8fe20f230426a7417f74a
.data 0x5000 0x2d0 0x200 4.30 9296cac617cd411d04c63a518f1847eb
.reloc 0x6000 0x214 0x200 5.52 79ced87d383a950cd47f9e8bc24b100e

( 5 imports ) 
> KERNEL32.dll: ConnectNamedPipe, CreateNamedPipeA, GetCurrentProcess, GetStartupInfoA, GetSystemDirectoryA, Process32Next, OpenProcess, Process32First, CreateToolhelp32Snapshot, Sleep, CreateThread, DisconnectNamedPipe, SetEvent, TerminateThread, WaitForSingleObject, CreateEventA, FreeConsole, DisableThreadLibraryCalls, GetModuleFileNameA, GetProcAddress, LoadLibraryA, FreeLibrary, ReadFile, GetTempPathA, CreateFileA, WriteFile, CloseHandle, CreateMutexA, DeleteFileA
> ADVAPI32.dll: SetServiceStatus, CreateProcessAsUserA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegisterServiceCtrlHandlerA
> urlmon.dll: URLDownloadToFileA
> WININET.dll: InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, HttpQueryInfoA, InternetReadFile
> MSVCRT.dll: wcstombs, _adjust_fdiv, malloc, _initterm, free, strrchr, sprintf, strncmp, _stricmp, strncpy

( 4 exports ) 
ServiceMain, SvchostPushServiceGlobals, TestCheckStatus, TestRunning
 
ThreatExpert info: <a href='h**p://www.threatexpert.com/report.aspx?md5=8ff70baecd87300607b5417439a36ed9' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=8ff70baecd87300607b5417439a36ed9</a> 
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=A3E1206E0092C5113C19005A924B730037778886' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=A3E1206E0092C5113C19005A924B730037778886</a> 
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=8ff70baecd87300607b5417439a36ed9' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=8ff70baecd87300607b5417439a36ed9</a>
         
gdimnt.dll

Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 - 
AntiVir 7.9.0.43 2008.12.09 TR/Crypt.XPACK.Gen 
Authentium 5.1.0.4 2008.12.08 W32/STZ_like!Generic 
Avast 4.8.1281.0 2008.12.08 Win32:VunDrop 
AVG 8.0.0.199 2008.12.08 Win32/Heur 
BitDefender 7.2 2008.12.09 Trojan.Generic.798961 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 - 
Comodo 713 2008.12.09 - 
DrWeb 4.44.0.09170 2008.12.09 Trojan.Siggen.224 
eSafe 7.0.17.0 2008.12.08 Suspicious File 
eTrust-Vet 31.6.6246 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 W32/STZ_like!Generic 
F-Secure 8.0.14332.0 2008.12.09 Trojan:W32/Agent.GAN 
Fortinet 3.117.0.0 2008.12.09 Adware/VUNDO 
GData 19 2008.12.09 Trojan.Generic.798961 
Ikarus T3.1.1.45.0 2008.12.08 Virus.Win32.VunDrop 
K7AntiVirus 7.10.549 2008.12.09 Trojan.Win32.Malware.1 
Kaspersky 7.0.0.125 2008.12.09 - 
McAfee 5458 2008.12.08 Generic.dx 
McAfee+Artemis 5458 2008.12.09 Generic.dx 
Microsoft 1.4205 2008.12.09 Trojan:Win32/Mesoum.A 
NOD32 3675 2008.12.09 Win32/Agent.THO 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 Generic Trojan 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 Worm 
Rising 21.07.12.00 2008.12.09 - 
SecureWeb-Gateway 6.7.6 2008.12.09 Trojan.Crypt.XPACK.Gen 
Sophos 4.36.0 2008.12.09 Mal/Behav-204 
Sunbelt 3.1.1832.2 2008.12.01 - 
Symantec 10 2008.12.09 Trojan Horse 
TheHacker 6.3.1.2.180 2008.12.09 - 
TrendMicro 8.700.0.1004 2008.12.09 - 
VBA32 3.12.8.10 2008.12.09 Trojan.Siggen.224 
ViRobot 2008.12.9.1508 2008.12.09 - 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 64512 bytes 
MD5...: 49be17bef08db8f9fcbee2894d78cc6f 
SHA1..: 07fd5c9998ed8a69932e73da773a6a275571f916 
SHA256: ac51063c025c3a9b2bc65902c1d2c6e631c2d296000c4b8a61929e2cc5ce2336 
SHA512: 6ee3481806dc9123c7fee36f15677cb00096ed756b8a54a93ab87587d0385ba1
80c0234843ca36e0785df22cef85d243bbddd3a8e14db47ae81770bd79b5de17
 
ssdeep: 1536:lO1whYByDIdTxfBozII97DZ9RfjI/Za70z5ZG1:0wCwDQyLkh5z5Q
 
PEiD..: - 
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7223ae0a
timedatestamp.....: 0x48c8bc3e (Thu Sep 11 06:35:42 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd6a4 0xd800 7.97 fc3a3be0a26f1f83c1dcf2816ac253b4
.rdata 0xf000 0x990 0xa00 7.77 232d2dd2cb2c5620ec261b9396673412
.data 0x10000 0xdc8 0xe00 7.88 f62f34818d7971743f14fcc5a6241e66
.reloc 0x11000 0x6c0 0x800 7.26 3044624804f0d240a5fcebd1261d7da3

( 0 imports ) 

( 0 exports ) 
 
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=19B6250E00C97083FCF900D195A96600E7948820' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=19B6250E00C97083FCF900D195A96600E7948820</a> 
ThreatExpert info: <a href='h**p://www.threatexpert.com/report.aspx?md5=49be17bef08db8f9fcbee2894d78cc6f' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=49be17bef08db8f9fcbee2894d78cc6f</a> 
CWSandbox info: <a href='h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=49be17bef08db8f9fcbee2894d78cc6f' target='_blank'>h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=49be17bef08db8f9fcbee2894d78cc6f</a>
         

Alt 09.12.2008, 13:01   #12
Basti #52
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



msfontskr.dll

Code:
ATTFilter
AhnLab-V3 2008.12.8.1 2008.12.09 - 
AntiVir 7.9.0.43 2008.12.09 - 
Authentium 5.1.0.4 2008.12.08 - 
Avast 4.8.1281.0 2008.12.08 - 
AVG 8.0.0.199 2008.12.08 - 
BitDefender 7.2 2008.12.09 - 
CAT-QuickHeal 10.00 2008.12.09 - 
ClamAV 0.94.1 2008.12.09 - 
Comodo 713 2008.12.09 - 
DrWeb 4.44.0.09170 2008.12.09 - 
eSafe 7.0.17.0 2008.12.08 - 
eTrust-Vet 31.6.6246 2008.12.05 - 
Ewido 4.0 2008.12.08 - 
F-Prot 4.4.4.56 2008.12.08 - 
F-Secure 8.0.14332.0 2008.12.09 - 
Fortinet 3.117.0.0 2008.12.09 - 
GData 19 2008.12.09 - 
Ikarus T3.1.1.45.0 2008.12.08 - 
K7AntiVirus 7.10.549 2008.12.09 - 
Kaspersky 7.0.0.125 2008.12.09 - 
McAfee 5458 2008.12.08 - 
McAfee+Artemis 5458 2008.12.09 - 
Microsoft 1.4205 2008.12.09 - 
NOD32 3675 2008.12.09 - 
Norman 5.80.02 2008.12.08 - 
Panda 9.0.0.4 2008.12.08 - 
PCTools 4.4.2.0 2008.12.08 - 
Prevx1 V2 2008.12.09 Cloaked Malware 
Rising 21.07.12.00 2008.12.09 - 
SecureWeb-Gateway 6.7.6 2008.12.09 Win32.Malware.dam (suspicious) 
Sophos 4.36.0 2008.12.09 - 
Sunbelt 3.1.1832.2 2008.12.01 - 
Symantec 10 2008.12.09 - 
TheHacker 6.3.1.2.180 2008.12.09 - 
TrendMicro 8.700.0.1004 2008.12.09 - 
VBA32 3.12.8.10 2008.12.09 - 
ViRobot 2008.12.9.1508 2008.12.09 - 
VirusBuster 4.5.11.0 2008.12.08 - 
weitere Informationen 
File size: 20480 bytes 
MD5...: 76387c942244f6c5ac04863737e3b77e 
SHA1..: e52f71cb9194dc835cb969ffb194ce334ccf0d45 
SHA256: 215eb2c10cd31a2e71202fa1d5d6dfcd841b18cbe59c2b89cb9f33683116c613 
SHA512: 9a82793c9aea46143ebf2843bfb35228a031f9fadc105978d0df67e33ded645b
40445e3d0e8aec98ea0d3da87b61b5154ba6e515bfcd8adb0bfa8e86c8fef56c
 
ssdeep: 192:Z0UBNWJ+FOqPbIDzREwQZmyQ491y56/mPP1GGyjOEGEVuLFIhMf0TfOKvMmC
A7:ZjBNWG7TIPREw6myIjdkrVCFTKQA7
 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x71a31039
timedatestamp.....: 0x4802c008 (Mon Apr 14 02:23:04 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x220c 0x2400 3.59 d191fb163b7eb3e9b644dc662029c646
.data 0x4000 0x8 0x200 0.12 86280848fa32f33b6e1fa33edd0a393c
.rsrc 0x5000 0x3344 0x3400 3.44 39fb3a48e4cdce18f197e57c52a2f539
.reloc 0x9000 0x4c 0x200 0.00 d41d8cd98f00b204e9800998ecf8427e

( 2 imports ) 
> KERNEL32.dll: DisableThreadLibraryCalls, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, SetLastError, QueryPerformanceCounter
> WS2_32.dll: -, -, WSARecvFrom, WSARecv

( 75 exports ) 
AcceptEx, EnumProtocolsA, EnumProtocolsW, GetAcceptExSockaddrs, GetAddressByNameA, GetAddressByNameW, GetNameByTypeA, GetNameByTypeW, GetServiceA, GetServiceW, GetTypeByNameA, GetTypeByNameW, MigrateWinsockConfiguration, NPLoadNameSpaces, SetServiceA, SetServiceW, TransmitFile, WEP, WSAAsyncGetHostByAddr, WSAAsyncGetHostByName, WSAAsyncGetProtoByName, WSAAsyncGetProtoByNumber, WSAAsyncGetServByName, WSAAsyncGetServByPort, WSAAsyncSelect, WSACancelAsyncRequest, WSACancelBlockingCall, WSACleanup, WSAGetLastError, WSAIsBlocking, WSARecvEx, WSASetBlockingHook, WSASetLastError, WSAStartup, WSAUnhookBlockingHook, WSApSetPostRoutine, __WSAFDIsSet, accept, bind, closesocket, connect, dn_expand, gethostbyaddr, gethostbyname, gethostname, getnetbyname, getpeername, getprotobyname, getprotobynumber, getservbyname, getservbyport, getsockname, getsockopt, htonl, htons, inet_addr, inet_network, inet_ntoa, ioctlsocket, listen, ntohl, ntohs, rcmd, recv, recvfrom, rexec, rresvport, s_perror, select, send, @_Uu_p5_xIjOp_5__UZ__h_DnumProtocolsA, _Uu_p5_xIjOp_5__UZ__h_DnumProtocolsA, 5_xIjOp_5__UZ__h_DnumProtocolsA, IjOp_5__UZ__h_DnumProtocolsA, p_5__UZ__h_DnumProtocolsA
 
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=45BA2927000BDAAD50CA00C31EB3D10051487F00' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=45BA2927000BDAAD50CA00C31EB3D10051487F00</a>
         

Avenger

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\windows\system32\winshl.dll" deleted successfully.
File "C:\windows\system32\Oemspi.dll" deleted successfully.
File "C:\windows\system32\msbios.dll" deleted successfully.
File "C:\windows\system32\wmdmpmsvc.dll" deleted successfully.
File "C:\windows\system32\gdimnt.dll" deleted successfully.
File "C:\windows\system32\msfontskr.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
ComboFix

Code:
ATTFilter
ComboFix 08-12-07.04 - Basti 2008-12-09 12:46:28.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1628 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

 c:\windows\system32\spoolsv.exe . . . ist infiziert!!

.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-09 bis 2008-12-09  ))))))))))))))))))))))))))))))
.

2008-12-09 11:01 . 2008-12-09 11:01	<DIR>	d--------	c:\programme\Avira GmbH
2008-12-09 10:57 . 2008-12-09 10:57	<DIR>	d--------	c:\programme\PrevxCSI
2008-12-09 10:57 . 2008-12-09 10:57	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-12-09 10:57 . 2008-12-09 10:57	26,808	--a------	c:\windows\system32\drivers\pxark.sys
2008-12-05 13:21 . 2008-12-05 13:21	<DIR>	d--------	C:\rsit
2008-12-04 15:29 . 2008-10-16 14:06	268,648	--a------	c:\windows\system32\mucltui.dll
2008-12-04 15:29 . 2008-10-16 14:06	27,496	--a------	c:\windows\system32\mucltui.dll.mui
2008-12-04 07:15 . 2008-12-04 07:15	<DIR>	d--------	c:\programme\Windows Defender
2008-11-25 20:53 . 2008-12-09 09:28	<DIR>	d--------	c:\programme\Spybot - Search & Destroy
2008-11-25 20:53 . 2008-12-09 09:28	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-21 16:18 . 2008-11-21 16:18	<DIR>	dr-------	c:\dokumente und einstellungen\NetworkService\Favoriten
2008-11-20 21:44 . 2008-11-20 21:44	42,320	--a------	c:\windows\system32\xfcodec.dll
2008-11-13 19:30 . 2008-11-13 19:30	682,280	--a------	c:\windows\system32\pbsvc.exe
2008-11-12 20:58 . 2008-09-04 18:15	1,106,944	-----c---	c:\windows\system32\dllcache\msxml3.dll
2008-11-12 20:58 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-09 10:01	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-08 18:12	---------	d-----w	c:\dokumente und einstellungen\Basti\Anwendungsdaten\teamspeak2
2008-12-07 23:32	---------	d-----w	c:\dokumente und einstellungen\Basti\Anwendungsdaten\Xfire
2008-11-30 16:46	---------	d-----w	c:\dokumente und einstellungen\Basti\Anwendungsdaten\Hamachi
2008-11-30 16:42	202,000	----a-w	c:\windows\system32\PnkBstrB.exe
2008-11-30 16:42	139,280	----a-w	c:\windows\system32\drivers\PnkBstrK.sys
2008-11-30 16:01	25,280	----a-w	c:\windows\system32\drivers\hamachi.sys
2008-11-13 18:30	66,872	----a-w	c:\windows\system32\PnkBstrA.exe
2008-11-13 18:30	22,328	----a-w	c:\dokumente und einstellungen\**\Anwendungsdaten\PnkBstrK.sys
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:06	208,744	----a-w	c:\windows\system32\muweb.dll
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-10 01:13	1,307,648	------w	c:\windows\system32\msxml6.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="e:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SPIRun"="SPIRun.dll" [2006-11-29 c:\windows\system32\SPIRun.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\**\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-08-23 651264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\progra~1\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2008-04-01 02:54 507904 c:\programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 e:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"e:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"g:\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"e:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"g:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"g:\\Call of Duty - World at War\\CoDWaW.exe"=
"g:\\Call of Duty - World at War\\CoDWaWmp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"28960:TCP"= 28960:TCP:CoD5
"28960:UDP"= 28960:UDP:CoD5
"20800:UDP"= 20800:UDP:CoD5
"20810:UDP"= 20810:UDP:CoD5

R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-12-09 26808]
R2 CSIScanner;CSIScanner;"c:\programme\PrevxCSI\prevxcsi.exe" /service [2008-12-09 927288]
R2 WinDefend;Windows Defender;"c:\programme\Windows Defender\MsMpEng.exe" [2006-11-03 13592]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [2008-08-23 733184]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [2008-08-23 1656576]
.
Inhalt des "geplante Tasks" Ordners

2008-12-09 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-12-09 12:49:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SPIRun = Rundll32 SPIRun.dll,RunDLLEntry? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(760)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\system32\rundll32.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\windows\system32\CTSVCCDA.EXE
c:\windows\system32\PnkBstrA.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-09 12:50:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-12-09 11:50:18

Vor Suchlauf: 13 Verzeichnis(se), 27.479.810.048 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 28,171,612,160 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

160	--- E O F ---	2008-12-08 16:13:04
         

Alt 09.12.2008, 14:06   #13
Chris4You
 
Chinesische Werbung über iexplore.exe - Standard

Chinesische Werbung über iexplore.exe



Hi,

da war ein Backdoor auf dem Rechner, du solltest Neuaufsetzen!

Bitte jetzt noch mal Prevx laufen lassen, sonst sieht es eigentlich ganz gut aus.
Die spoolsv war verseucht, d.h. Du wirst jetzt wahrscheinlich Druckprobleme bekommen (ausserdem müssen wir dann noch die Systemwiederherstellung bereinigen). Falls Prevx nichts erkennt, Daten sichern und dann neu installieren...

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Chinesische Werbung über iexplore.exe
adobe, antivir, bho, defender, dll, dsl, einstellungen, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, iexplore.exe, internet, internet explorer, logfile, pdf, problem, rundll, software, system, taskmanager, werbung, windows, windows defender, windows xp, windows xp sp3, xp sp3, öffnet



Ähnliche Themen: Chinesische Werbung über iexplore.exe


  1. Windows 8, Werbung über Lautsprecher und inetstat.exe
    Log-Analyse und Auswertung - 27.09.2015 (14)
  2. Chinesische Malware kommuniziert über TechNet-Forum
    Nachrichten - 18.05.2015 (0)
  3. Windows 7 x64 - Werbung über dem gesamten Browserfenster bei Google Chrome/Firefox
    Log-Analyse und Auswertung - 21.09.2013 (5)
  4. GMX Werbung über dem Eingabefeld
    Überwachung, Datenschutz und Spam - 03.07.2013 (1)
  5. Werbung öffnet sich über den Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 21.06.2011 (27)
  6. iexplore.exe / über 10 mal im Task Manager / Prozess belegt Arbeitsspeicher
    Plagegeister aller Art und deren Bekämpfung - 23.02.2011 (20)
  7. Trojaner öffnen ständig Seiten/Werbung über den Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (34)
  8. Internet Explorer öffnet über Pop-Up Werbung! - Immer wieder!
    Log-Analyse und Auswertung - 30.10.2010 (14)
  9. IEXPLORE.EXE im Task Manager, PC lahm, ie öffnet ab und zu Werbung
    Log-Analyse und Auswertung - 15.07.2010 (1)
  10. Iexplore.exe öffnet werbung
    Log-Analyse und Auswertung - 05.07.2010 (14)
  11. sshnas21 - Werbung über IE öffnet sich andauernd
    Log-Analyse und Auswertung - 24.03.2010 (2)
  12. Werbung über IE öffnet sich andauernd
    Log-Analyse und Auswertung - 19.03.2010 (1)
  13. TR/Agent Wahrscheinlich über Internet Werbung
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (10)
  14. IE öffnet CID Werbung und die iexplore.exe
    Log-Analyse und Auswertung - 06.04.2009 (5)
  15. iexplore: blockt keine werbung und lässt sich nicht beenden
    Mülltonne - 23.12.2008 (1)
  16. iexplore.exe öffnet werbung
    Mülltonne - 27.09.2008 (0)
  17. 1.Werbung bei Firefox / 2. iexplore.exe 4mal
    Log-Analyse und Auswertung - 17.12.2007 (3)

Zum Thema Chinesische Werbung über iexplore.exe - Hallo, hab ein Problem mit der iexplore.exe Und zwar öffnet sich eine zweite iexplore.exe bei mir im Taskmanager und zeitgleich ertönt über meine Boxen immer so eine komische chinesische Werbung. - Chinesische Werbung über iexplore.exe...
Archiv
Du betrachtest: Chinesische Werbung über iexplore.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.