Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MSN-Lifemessenger verschickt links

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.12.2008, 09:27   #1
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Hallo liebe Computerspezialisten,
auch ich habe das bekannte MSN-Problem, dass ohne mein Wissen an die Kontaktliste Nachrichten versendet werden. Ich selbst habe keine Sonderheiten des PCs entdeckt, aber zwei meiner Kontakte haben mich informiert.

das Betriebssystem ist XP und der Logfile ist folgender:

#Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:05, on 08.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Atheros\ACU.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\system32\ASUSTPE.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Program Files\P4P\P4P.exe
C:\WINDOWS\ASScrPro.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 8.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Programme\ATK Hotkey\KBFiltr.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\audiograbber\audiograbber.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807. 1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programme\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ASUSTPE] C:\WINDOWS\system32\ASUSTPE.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\ASScrPro.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 8.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MultiFrame] C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe

--
End of file - 11500 bytes#


Ich danke euch vielmals bereits jetzt schon! Wäre überglücklich, wenn es einen Weg gäbe ohne alles formatieren zu müssen!

Alt 09.12.2008, 10:23   #2
undoreal
/// AVZ-Toolkit Guru
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Halli hallo.

Du solltest dringend deinen Autostart ausmisten! Da laufen viel zu viele Prozesse die du bestimmt garnicht alle benötigst...

Deinstalliere den MSN-LiveMessenger!


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\System32\StkCSrv.exe
C:\Program Files\P4P\P4P.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Fixe mit HJT folgende Einträge:
Zitat:
C:\Program Files\P4P\P4P.exe
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"

Gleich danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Folders to delete:
C:\Program Files\P4P
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________

__________________

Alt 09.12.2008, 13:18   #3
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Erst mal vielen lieben Dank für die detaillierte Beschreibung! Bin sehr froh, nicht auf mich allein gestellt zu sein - und Respekt für deine Kenntnisse...

Ergebnisse bei VirusTotal:

Datei StkCSrv.exe empfangen 2008.12.09 14:24:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/38 (2.64%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.8.1 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6246 2008.12.05 -
Ewido 4.0 2008.12.08 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 Suspicious:W32/Mudrop.cy!Gemini
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.08 -
Panda 9.0.0.4 2008.12.08 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.08 -
weitere Informationen
File size: 24576 bytes
MD5...: 7b072f348b63098c94cccbbd3516a558
SHA1..: 91187fb92d9ab9fffdd57c6c79abdb8e93e7dbc1
SHA256: 41813f90b238f943e612597c6c470fda7624b6bc9a35b0716f140be8d7ebb3ca
SHA512: cbeb01987fde9f5d9b404226a5a88205bdb49e0cd3f53feb89d42541c06b788a
ecafb9ad3b479455510b783ab4841b720bd36b8d0ca93caa29c549c733cffe27

ssdeep: 192:eY61NpQ4/0wki6Efu/OnTm7aYluL4oyntMtfIQd5t5vP9L2i6kq0qLXJ:eY0
QcyR/s45I4XMdT52xkq0qL

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4023be
timedatestamp.....: 0x46270f59 (Thu Apr 19 06:42:33 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x158a 0x2000 4.49 e70718bfbd9f70b61f2e60a605f488ae
.rdata 0x3000 0x8f8 0x1000 3.34 11b9d69443d06c451c6c45641e9fbc37
.data 0x4000 0x238 0x1000 0.93 f76b1d1527166929892e48a4da848ecc
.rsrc 0x5000 0xc40 0x1000 2.71 8a6fa955f40a2a704264dbe2aed39024

( 6 imports )
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __p___initenv, exit, _XcptFilter, _exit, _onexit, __dllonexit, malloc, free, _splitpath, _mbsicmp, __CxxFrameHandler, _purecall, _controlfp
> KERNEL32.dll: DeviceIoControl, lstrcmpiA, CreateProcessA, lstrcatA, CreateFileA, CreateThread, WideCharToMultiByte, GetLastError, CloseHandle, SetEvent, WaitForSingleObject, CreateEventA, GetModuleHandleA, GetModuleFileNameA, WaitForMultipleObjects, lstrcpyA
> USER32.dll: UnregisterDeviceNotification, RegisterDeviceNotificationA, wsprintfA, GetParent
> ADVAPI32.dll: OpenSCManagerA, CloseServiceHandle, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerExA, SetServiceStatus, DeleteService, OpenServiceA, RegOpenKeyExA, RegCloseKey, RegQueryValueExA, RegOpenKeyA, CreateServiceA
> SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiGetDeviceRegistryPropertyA, SetupDiCreateDeviceInfoList, SetupDiOpenDeviceInterfaceA, SetupDiGetClassDevsA, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA

( 0 exports )

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7b072f348b63098c94cccbbd3516a558' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7b072f348b63098c94cccbbd3516a558</a>



Datei P4P.exe empfangen 2008.12.09 14:13:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit ist zwischen 62 und 88 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.8.1 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6246 2008.12.05 -
Ewido 4.0 2008.12.08 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.08 -
Panda 9.0.0.4 2008.12.08 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.08 -
weitere Informationen
File size: 778240 bytes
MD5...: 4a3f544a82e1d000f9eec0c0d848a063
SHA1..: 3bfd4efe3a91f5a7081f190fa2677d7a661be97a
SHA256: 89963d75dfa2d723f8601aa6c1366a7a1c6b49b65e54681ecb5b3b5c09dfda7d
SHA512: f59960e36528319a201f22fe3737a22beef3aed28119471b9048f917f86fc47b
83ab2018e7b85f8f4a6dd056584d18ea2f64dc769b194db209d91ed0f9dc1ace

ssdeep: 12288:WvQVSDh1ZSJYoxZvNuB3Akqk1fSE49+O:NVgh18pxFw3n51fSE4M

PEiD..: -
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (41.8%)
Win32 Executable MS Visual C++ (generic) (37.9%)
Win32 Executable Generic (8.5%)
Win32 Dynamic Link Library (generic) (7.6%)
Generic Win/DOS Executable (2.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x421e0f
timedatestamp.....: 0x469ee625 (Thu Jul 19 04:18:45 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3b94e 0x3c000 6.54 d4336155a2c16738fe581101553e87d4
.rdata 0x3d000 0xea48 0xf000 5.08 e36989b06e0f14b49d3edf15773dd0e0
.data 0x4c000 0x63d4 0x3000 3.46 2788d3aa188cbb3b23eb83548fcb946e
.rsrc 0x53000 0x6ea50 0x6f000 5.84 d8502a41cbd845baab9c0f43d6fb3f6d

( 16 imports )
> TAPI32.dll: lineInitializeExA, lineNegotiateAPIVersion, lineGetDevCapsA, lineOpenA, lineSetStatusMessages, lineGetMessage, lineGetCallInfoA, lineDrop, lineClose, lineShutdown, lineAnswer, lineMakeCallA, phoneClose, phoneInitializeExA, phoneNegotiateAPIVersion, phoneGetDevCapsA, phoneOpen, phoneShutdown, phoneSetStatusMessages, phoneSetHookSwitch
> WINMM.dll: mciSendCommandA
> gdiplus.dll: GdipDeleteGraphics, GdipGetImageHeight, GdipCreateFromHDC, GdipDrawImageI, GdipFree, GdipAlloc, GdipDeleteBrush, GdipCreateFontFamilyFromName, GdipGetGenericFontFamilySansSerif, GdipDeleteFontFamily, GdipCreateFont, GdipDeleteFont, GdipDisposeImage, GdipCreateBitmapFromStream, GdipCreateBitmapFromStreamICM, GdipCreateSolidFill, GdipDrawString, GdipCloneBrush, GdipCloneImage, GdiplusStartup, GdiplusShutdown, GdipSetSolidFillColor, GdipMeasureString, GdipGetImageWidth
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: LocalAlloc, LeaveCriticalSection, GlobalReAlloc, GlobalHandle, EnterCriticalSection, TlsGetValue, InitializeCriticalSection, TlsAlloc, TlsSetValue, LocalReAlloc, DeleteCriticalSection, TlsFree, GlobalFlags, InterlockedIncrement, GetCPInfo, GetOEMCP, RaiseException, FileTimeToSystemTime, WriteFile, FlushFileBuffers, LockFile, UnlockFile, SetEndOfFile, GetFileSize, DuplicateHandle, FindClose, FindFirstFileA, GetVolumeInformationA, GetFullPathNameA, SetErrorMode, FileTimeToLocalFileTime, GetFileAttributesA, GetFileTime, GetTickCount, RtlUnwind, ExitProcess, TerminateProcess, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapReAlloc, GetStartupInfoA, GetCommandLineA, HeapSize, LCMapStringA, LCMapStringW, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetStringTypeA, GetStringTypeW, SetUnhandledExceptionFilter, HeapDestroy, HeapCreate, VirtualFree, IsBadWritePtr, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetTimeZoneInformation, IsBadReadPtr, IsBadCodePtr, SetStdHandle, SetEnvironmentVariableA, GetCurrentThread, lstrcmpA, ConvertDefaultLocale, EnumResourceLanguagesA, lstrcpyA, InterlockedDecrement, LocalFree, MulDiv, SetLastError, GetCurrentThreadId, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, LoadLibraryA, FreeLibrary, lstrcatA, lstrcmpW, lstrcpynA, FormatMessageA, CompareStringW, CompareStringA, lstrlenA, lstrcmpiA, GetVersion, CreateThread, TerminateThread, GetModuleHandleA, GetProcAddress, Sleep, DeviceIoControl, GetCurrentProcess, GlobalAlloc, GlobalLock, GlobalUnlock, GlobalFree, OpenMutexA, CreateMutexA, GetLastError, GetModuleFileNameA, MultiByteToWideChar, WritePrivateProfileSectionA, GetPrivateProfileSectionNamesA, WideCharToMultiByte, SizeofResource, GetPrivateProfileStringA, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, WritePrivateProfileStringA, FindResourceA, LoadResource, LockResource, FreeResource, CreateFileA, ReadFile, SetFilePointer, CloseHandle
> USER32.dll: DestroyMenu, SetCapture, ReleaseCapture, CharNextA, IsRectEmpty, CopyAcceleratorTableA, InvalidateRgn, GetNextDlgGroupItem, MessageBeep, RegisterClipboardFormatA, PostThreadMessageA, SetWindowContextHelpId, MapDialogRect, GetMessageA, TranslateMessage, GetCursorPos, ValidateRect, GetDesktopWindow, GetActiveWindow, CreateDialogIndirectParamA, GetNextDlgTabItem, EndDialog, SetMenuItemBitmaps, ModifyMenuA, GetMenuState, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, IsWindowEnabled, ShowWindow, MoveWindow, IsDialogMessageA, EndPaint, BeginPaint, ClientToScreen, GrayStringA, DrawTextExA, TabbedTextOutA, WinHelpA, GetCapture, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, GetClassInfoExA, SetPropA, GetPropA, RemovePropA, SendDlgItemMessageA, GetFocus, SetFocus, IsChild, GetWindowTextLengthA, GetWindowTextA, GetForegroundWindow, GetLastActivePopup, SetActiveWindow, DispatchMessageA, GetDlgItem, GetTopWindow, DestroyWindow, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, PeekMessageA, MapWindowPoints, MessageBoxA, GetKeyState, SetForegroundWindow, IsWindowVisible, UpdateWindow, GetMenu, GetSubMenu, GetMenuItemID, GetMenuItemCount, GetSysColor, AdjustWindowRectEx, GetParent, EqualRect, RegisterClassA, UnregisterClassA, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowPos, ReleaseDC, EnableWindow, PostMessageA, LoadBitmapA, DrawIcon, SendMessageA, IsIconic, SetWindowRgn, GetClientRect, FindWindowA, LoadIconA, DrawTextA, GetSystemMetrics, IntersectRect, GetWindowPlacement, GetWindow, GetSysColorBrush, SystemParametersInfoA, SetCursor, LoadCursorA, RedrawWindow, GetWindowDC, CharUpperA, SetRect, CopyRect, OffsetRect, wsprintfA, RegisterWindowMessageA, PtInRect, GetDC, UpdateLayeredWindow, PostQuitMessage, SetWindowTextA, GetWindowLongA, SetWindowLongA, GetClassNameA, RegisterDeviceNotificationA, KillTimer, SetTimer, InvalidateRect, GetWindowRect, GetSystemMenu, AppendMenuA, GetClassInfoA, IsWindow
> GDI32.dll: GetViewportExtEx, GetWindowExtEx, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, SetViewportOrgEx, SetMapMode, CreateRectRgnIndirect, GetMapMode, DPtoLP, GetBkColor, GetTextColor, GetRgnBox, GetDeviceCaps, RestoreDC, SaveDC, SetBkColor, GetClipBox, CreateRectRgn, CombineRgn, CreateFontIndirectA, GetTextMetricsA, CreateICA, GetDIBits, ExtCreateRegion, GetObjectA, GetStockObject, CreateBitmap, SetBkMode, SetTextColor, BitBlt, CreateCompatibleDC, SelectObject, DeleteDC, CreateDIBSection, DeleteObject, ExtSelectClipRgn, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx
> MSIMG32.dll: AlphaBlend
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter
> ADVAPI32.dll: RegSetValueExW, RegOpenKeyExA, RegOpenKeyA, RegQueryValueExA, RegDeleteKeyA, RegEnumKeyA, RegQueryValueA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> COMCTL32.dll: -, _TrackMouseEvent
> SHLWAPI.dll: PathFindFileNameA, PathStripToRootA, PathIsUNCA, PathFindExtensionA
> oledlg.dll: -
> ole32.dll: CoTaskMemFree, CreateStreamOnHGlobal, CoTaskMemAlloc, CoRegisterMessageFilter, OleFlushClipboard, OleIsCurrentClipboard, CoRevokeClassObject, OleInitialize, CoFreeUnusedLibraries, OleUninitialize, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes, CoGetClassObject, CLSIDFromString, CLSIDFromProgID
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )

Logfile of the avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Program Files\P4P" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Mein einziges Problem bei der Ausführung deiner Anweisungen war, dass ich beim Fixen bei hijack
C:\Program Files\P4P\P4P.exe
nicht gefunden habe. Also ist nur
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
gefixt.

Vielen vielen Dank für deine Hilfe!
__________________

Geändert von m_shahali (09.12.2008 um 13:45 Uhr)

Alt 09.12.2008, 15:19   #4
undoreal
/// AVZ-Toolkit Guru
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Hast du den LiveMessenger deinstalliert?


#Analyse#

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 09.12.2008, 21:51   #5
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Den LiveMessenger hab ich sofort deinstalliert.

Der fixnavi.txt ist folgender:

Search Navipromo version 3.6.9 began on 09.12.2008 at 22:40:21,81

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "user"

Updated on 05.11.2008 at 21h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 09.12.2008 at 22:47:06,09 ***


Alt 09.12.2008, 22:26   #6
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



hab auch die CCleaner Bereinigung durchgeführt.

In der Anleitung des ComboFix steht, ich solle im Wiederherstellungsmodus booten.
Soll ich das so machen oder reicht es, wenn alle Programme geschlossen sind und ich die Tastatur/Maus nicht anfasse?

Alt 10.12.2008, 05:43   #7
undoreal
/// AVZ-Toolkit Guru
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Du sollst nicht im Wiederherstellungsmodus booten! Lies nochmal genau..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 10.12.2008, 17:45   #8
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



entschuldige, hab den Leitfaden und das Tutorium von combofix zu genau studiert :-)

ComboFix 08-12-09.03 - user 2008-12-10 18:39:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1417 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-10 bis 2008-12-10 ))))))))))))))))))))))))))))))
.

2008-12-10 18:41 . 2008-12-10 18:41 53,248 --a------ c:\temp\catchme.dll
2008-12-10 18:39 . 2008-12-10 18:39 <DIR> d-------- c:\temp\WPDNSE
2008-12-09 23:22 . 2008-12-09 23:22 <DIR> d-------- c:\temp\hsperfdata_user
2008-12-09 23:17 . 2008-12-09 23:17 <DIR> d-------- c:\temp\Google Toolbar
2008-12-09 23:17 . 2008-12-10 18:35 <DIR> d-------- c:\temp\__SkypeIEToolbar_Cache
2008-12-09 23:06 . 2008-12-09 23:06 <DIR> d-------- c:\programme\CCleaner
2008-12-09 22:38 . 2008-12-09 22:47 <DIR> d-------- c:\programme\Navilog1
2008-12-08 22:34 . 2008-12-08 22:34 <DIR> d-------- c:\programme\Trend Micro
2008-12-03 18:56 . 2008-12-03 18:56 <DIR> d-------- c:\programme\Zattoo
2008-11-28 20:46 . 2008-11-28 20:46 <DIR> d-------- c:\programme\iPod
2008-11-28 20:46 . 2008-11-28 20:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-28 20:43 . 2008-11-28 20:43 <DIR> d-------- c:\programme\QuickTime
2008-11-24 20:26 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll
2008-11-18 21:31 . 2008-11-18 21:31 <DIR> dr------- c:\programme\Skype
2008-11-18 21:31 . 2008-11-18 21:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2008-11-16 23:04 . 2008-11-16 23:04 56 --ah----- c:\windows\system32\ezsidmv.dat
2008-11-15 20:26 . 2008-12-10 18:41 <DIR> d--h----- c:\temp\Temporäres Verzeichnis 1 für Examensklausuren Kaiser - 1.zip
2008-11-12 22:04 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 22:04 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-10 17:36 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\Skype
2008-12-10 17:33 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\skypePM
2008-12-09 22:22 --------- d-----w c:\programme\Java
2008-12-09 13:55 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\OpenOffice.org2
2008-11-28 20:17 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\Apple Computer
2008-11-28 19:47 --------- d-----w c:\programme\iTunes
2008-11-28 19:46 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-18 20:31 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-14 12:05 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 17:34 --------- d-----w c:\programme\Microsoft Silverlight
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-10 17:05 0 ----a-w c:\windows\system32\drivers\1043_ASUSTeK_F5RL.alu
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-04-16 15:50 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"MultiFrame"="c:\programme\ASUS\Asus MultiFrame\MultiFrame.exe" [2007-06-21 999792]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-26 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-10-29 25798440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-07-03 7708672]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ACU"="c:\programme\Atheros\ACU.exe" [2007-05-03 376921]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-07-19 49520]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-04-11 37232]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-04-11 33136]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 49152]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-26 172032]
"DeviceDiscovery"="c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 40960]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 c:\windows\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FreeCall.com\\FreeCall\\FreeCall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [2008-04-23 24576]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\DRIVERS\l251x86.sys [2008-04-11 30208]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\Drivers\StkCMini.sys [2008-04-23 1260672]
R3 WSIMD;wsimd Service;c:\windows\system32\DRIVERS\wsimd.sys [2008-04-11 57024]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {857D4360-762B-978B-76AD-491AA719E47A} /qb

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2008-11-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.spiegel.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FireFox -: Profile - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\q9nqxste.default\
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-10 18:41:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(836)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-12-10 18:42:05
ComboFix-quarantined-files.txt 2008-12-10 17:42:01

Vor Suchlauf: 11 Verzeichnis(se), 83.969.937.408 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 87,224,483,840 Bytes frei

164 --- E O F --- 2008-11-13 09:52:30

Alt 10.12.2008, 22:02   #9
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



hier noch die logs...

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 12/10/2008 at 10:04 PM

Application Version : 4.23.1006

Core Rules Database Version : 3670
Trace Rules Database Version: 1649

Scan type : Complete Scan
Total Scan Time : 01:01:21

Memory items scanned : 566
Memory threats detected : 0
Registry items scanned : 5265
Registry threats detected : 0
File items scanned : 54190
File threats detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\user\Cookies\user@adrevolver[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@media.adrevolver[3].txt
C:\Dokumente und Einstellungen\user\Cookies\user@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@dynamic.media.adrevolver[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@media.adrevolver[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@doubleclick[2].txt



Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1483
Windows 5.1.2600 Service Pack 3

10.12.2008 23:00:40
mbam-log-2008-12-10 (23-00-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 99610
Laufzeit: 44 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 11.12.2008, 10:31   #10
undoreal
/// AVZ-Toolkit Guru
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Schreibe dir deine Zugangsdaten für den MEssenger auf und deinstalliere ihn!

Guck mal bitte nach ob dieser Ordner existiert und was drinn ist: c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA6 4CB79BCF6}



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\windows\system32\ezsidmv.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat



Folders to delete:
c:\programme\Zattoo
c:\Programme\Messenger
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Räume mit dem CCleaner auf (Punkte 1&2) und poste ein frisches HJT log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 11.12.2008, 15:45   #11
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



hatte den life-messenger gleich über die systemsteuerung -> software deinstalliert.
meinst du, dass hat da nicht geklappt? jetzt mit dem avenger aber schon, denk ich?! war das tv-programm-zattoo infiziert?

es gibt den besagten ordner. darin befinden sich divxinstall32.exe, sicherheitsinfo, setupinfo und DIFxAPI.dll und ordner "x86", in dem sich GEARAspi.dll verbirgt. sagt mir leider gar nichts, tut mir leid, wenn das nicht das ist, was du suchst.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\ezsidmv.dat" deleted successfully.
File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat" deleted successfully.
Folder "c:\programme\Zattoo" deleted successfully.
Folder "c:\Programme\Messenger" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:33, on 11.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Atheros\ACU.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\system32\ASUSTPE.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\WINDOWS\ASScrPro.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe
C:\Programme\ATK Hotkey\KBFiltr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Avenger\Zattoo\Zattoo2.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programme\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ASUSTPE] C:\WINDOWS\system32\ASUSTPE.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\ASScrPro.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MultiFrame] C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe

--
End of file - 10632 bytes

Alt 11.12.2008, 16:14   #12
undoreal
/// AVZ-Toolkit Guru
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Zitat:
hatte den life-messenger gleich über die systemsteuerung -> software deinstalliert.
meinst du, dass hat da nicht geklappt?
scheinbar nicht. Der tauchte noch im log auf. Mag aber auch am Schädling liegen..

Zitat:
war das tv-programm-zattoo infiziert?
kann ich nicht mit Sicherheit sagen aber lieber einmal zu viel löschen als einmal zu wenig..

Zitat:
es gibt den besagten ordner. darin befinden sich divxinstall32.exe, sicherheitsinfo, setupinfo und DIFxAPI.dll und ordner "x86", in dem sich GEARAspi.dll verbirgt.
Lade alle Dateien die sich im besagten Ordner befinden bitte alle bei Virustotal hoch und poste die Ergebnisse!
Lade auch folgende Datei hoch: C:\Programme\ATKOSD2\ATKOSD2.exe und poste das Ergebniss!

Danach löschen wir den Ordner mit dem Avenger:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Folders to delete:
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA6 4CB79BCF6}
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



Und fixe mit HJT folgende Einträge:
Zitat:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (11.12.2008 um 16:19 Uhr)

Alt 11.12.2008, 19:30   #13
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 61 und 87 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.11 -
BitDefender 7.2 2008.12.11 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.11 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.11 -
Fortinet 3.117.0.0 2008.12.11 -
GData 19 2008.12.11 -
Ikarus T3.1.1.45.0 2008.12.11 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.11 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5460 2008.12.10 -
Microsoft 1.4205 2008.12.10 -
NOD32 3684 2008.12.11 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.11 -
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 -
Sophos 4.36.0 2008.12.11 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.11 -
TheHacker 6.3.1.2.183 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.11.1513 2008.12.11 -
VirusBuster 4.5.11.0 2008.12.11 -
weitere Informationen
File size: 7708672 bytes
MD5...: c49d6a081c9212174adf3594c8aaab0b
SHA1..: d08997f500db9e4c712998626103a8a4e72c562c
SHA256: 9fedc0fe0639ba24c6214eb963371ceb4e22f5bfa92894819f90248d95724f8a
SHA512: b6a59fffb1e93616de362908b012ed2a000591cd1108327362d099e899b99a0c
6bf545f463746099fe759db2c5d80d1945a3b5e0a71357c6d16864dabc82c2b8

ssdeep: 196608:vHNTLEK3kZN3qeRAksueCblGhW1GxmFRmuPgk:9dM/uueCbCW13Rmkn

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x436c92
timedatestamp.....: 0x4689b8dd (Tue Jul 03 02:47:57 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4d6b4 0x4e000 6.54 b64588f89a40a4e8bdc1c03431f854e1
.rdata 0x4f000 0x162e2 0x17000 4.65 b8a04599d7460ff57920fd8ea244ddfe
.data 0x66000 0x6d38 0x3000 4.24 6496b1f1426bf43109326536e06d10a5
.rsrc 0x6d000 0x6f01d0 0x6f1000 7.97 bf9a07a0a85c7d77eaa845e549172c49

( 13 imports )
> gdiplus.dll: GdipDrawImageRectI, GdipDeleteGraphics, GdipGetImageWidth, GdipGetImageHeight, GdipCreateFromHDC, GdiplusStartup, GdiplusShutdown, GdipAlloc, GdipFree, GdipCreateBitmapFromStream, GdipDisposeImage, GdipCloneImage
> KERNEL32.dll: DuplicateHandle, FindClose, FindFirstFileW, GetVolumeInformationW, GetFullPathNameW, SetErrorMode, GetTickCount, FileTimeToLocalFileTime, GetFileAttributesW, GetFileTime, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoW, HeapReAlloc, RtlUnwind, RaiseException, ExitProcess, HeapSize, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetStdHandle, GetFileSize, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, GetCPInfo, GetACP, GetOEMCP, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, GetLocaleInfoA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, SetEnvironmentVariableA, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, InterlockedIncrement, FileTimeToSystemTime, GetThreadLocale, GetModuleHandleA, CloseHandle, GlobalAddAtomW, GlobalFindAtomW, CompareStringW, LoadLibraryA, GetVersionExA, InterlockedDecrement, WritePrivateProfileStringW, FreeResource, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetVersion, EnumResourceLanguagesW, GetLocaleInfoW, LoadLibraryW, CompareStringA, InterlockedExchange, lstrcmpW, GlobalDeleteAtom, GetModuleHandleW, GetCurrentProcessId, GetModuleFileNameW, lstrlenA, lstrcmpA, SetLastError, FormatMessageW, LocalFree, lstrlenW, MulDiv, WideCharToMultiByte, MultiByteToWideChar, CreateThread, GetLastError, CreateMutexW, OpenMutexW, DeviceIoControl, CreateFileW, GetCurrentProcess, GetProcAddress, GetModuleHandleExW, FreeLibrary, GlobalLock, GlobalAlloc, LoadResource, LockResource, SizeofResource, FindResourceW, GlobalFree, GlobalUnlock, GetModuleFileNameA
> USER32.dll: ReleaseCapture, CharNextW, CopyAcceleratorTableW, IsRectEmpty, InvalidateRect, InvalidateRgn, GetNextDlgGroupItem, MessageBeep, UnregisterClassW, CharUpperW, RegisterClipboardFormatW, PostThreadMessageW, DestroyMenu, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, SetCursor, GetMessageW, TranslateMessage, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, ModifyMenuW, EnableMenuItem, CheckMenuItem, GetDesktopWindow, GetActiveWindow, CreateDialogIndirectParamW, GetNextDlgTabItem, EndDialog, RegisterWindowMessageW, UnregisterClassA, SendDlgItemMessageA, WinHelpW, IsChild, SetWindowsHookExW, CallNextHookEx, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, GetFocus, IsWindow, SetFocus, GetWindowTextW, GetForegroundWindow, SetActiveWindow, DispatchMessageW, GetDlgItem, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, PeekMessageW, GetKeyState, SetForegroundWindow, IsWindowVisible, UpdateWindow, GetMenu, CreateWindowExW, GetClassInfoExW, RegisterClassW, GetSysColor, AdjustWindowRectEx, EqualRect, CopyRect, GetDlgCtrlID, DefWindowProcW, CallWindowProcW, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, UnhookWindowsHookEx, GetWindow, SetWindowContextHelpId, MapDialogRect, GetWindowThreadProcessId, GetParent, GetLastActivePopup, IsWindowEnabled, MessageBoxW, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, PtInRect, SetCapture, LoadCursorW, GetSysColorBrush, ShowWindow, EnableWindow, GetWindowRect, MoveWindow, SetWindowTextW, IsDialogMessageW, GetCapture, SetWindowPos, PostQuitMessage, ReleaseDC, UpdateLayeredWindow, GetDC, KillTimer, PostMessageW, SetTimer, GetWindowLongW, SetWindowLongW, SendMessageW, AppendMenuW, GetSystemMenu, DrawIcon, GetClientRect, GetSystemMetrics, IsIconic, LoadIconW, GetClassInfoW, SetRect, MapWindowPoints, SendDlgItemMessageW
> GDI32.dll: RectVisible, TextOutW, ExtTextOutW, Escape, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, ExtSelectClipRgn, GetStockObject, PtVisible, SaveDC, GetBkColor, GetTextColor, CreateRectRgnIndirect, GetRgnBox, GetMapMode, GetWindowExtEx, RestoreDC, GetViewportExtEx, CreateBitmap, GetObjectW, SetBkColor, SetTextColor, GetClipBox, GetDeviceCaps, DeleteObject, DeleteDC, SelectObject, CreateDIBSection, CreateCompatibleDC, SetMapMode
> MSIMG32.dll: AlphaBlend
> COMDLG32.dll: GetFileTitleW
> WINSPOOL.DRV: DocumentPropertiesW, ClosePrinter, OpenPrinterW
> ADVAPI32.dll: RegSetValueExW, RegQueryValueW, RegEnumKeyW, RegDeleteKeyW, RegCloseKey, RegCreateKeyExW, RegOpenKeyExW, RegQueryValueExW, RegOpenKeyW
> COMCTL32.dll: InitCommonControlsEx
> SHLWAPI.dll: PathFindFileNameW, PathStripToRootW, PathFindExtensionW, PathIsUNCW
> oledlg.dll: OleUIBusyW
> ole32.dll: CoTaskMemAlloc, CLSIDFromProgID, CoTaskMemFree, CreateStreamOnHGlobal, CLSIDFromString, CoGetClassObject, CoRegisterMessageFilter, OleFlushClipboard, OleIsCurrentClipboard, CoRevokeClassObject, OleInitialize, CoFreeUnusedLibraries, OleUninitialize, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c49d6a081c9212174adf3594c8aaab0b' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c49d6a081c9212174adf3594c8aaab0b</a>


Datei GEARAspi.dll empfangen 2008.12.11 20:21:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 61 und 87 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.11 -
BitDefender 7.2 2008.12.11 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.11 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.11 -
Fortinet 3.117.0.0 2008.12.11 -
GData 19 2008.12.11 -
Ikarus T3.1.1.45.0 2008.12.11 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.11 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5460 2008.12.10 -
Microsoft 1.4205 2008.12.10 -
NOD32 3684 2008.12.11 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.11 -
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 -
Sophos 4.36.0 2008.12.11 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.11 -
TheHacker 6.3.1.2.183 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.11.1513 2008.12.11 -
VirusBuster 4.5.11.0 2008.12.11 -
weitere Informationen
File size: 107368 bytes
MD5...: 005ee82babf1d2d32188a75bedf500a4
SHA1..: 97d30f06a806a2208bcb89958b6017e24122e816
SHA256: 47a1ccbce460fc833afe4992f55452227dc70d46434d2c95582c78abb6539a50
SHA512: a0b5bc37e1abd99453e3f354446a3c109cae30667130f2bdaa996400d178af17
975953bee843808bc704297dffa896170c2a974b6f84c1961db57e94d212a840

ssdeep: 3072:7csE5AF2iaGNHWfz70IM9dB+dY5SaZeLM:y50aGNHe70IM9dIpc

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10008bfb
timedatestamp.....: 0x479f07c4 (Tue Jan 29 11:02:28 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12403 0x12600 6.46 77e504aa8940a5a26f5500e2d6387f68
.rdata 0x14000 0x32af 0x3400 5.27 a827d3d0b2c987e220961bde9856846d
.data 0x18000 0x2e20 0x1000 2.62 76824f0f64ec7b0b8a598ffc4c8d2dbd
.rsrc 0x1b000 0x5c0 0x600 4.26 f46024b1b145174ce012311a72782954
.reloc 0x1c000 0x195c 0x1a00 4.37 c0a68991bd3624eb79ad3ec2ccb83217

( 2 imports )
> KERNEL32.dll: CreateFileA, SetEvent, GetLastError, FreeLibrary, GlobalAlloc, CreateFileW, QueryDosDeviceA, GetDriveTypeA, GlobalLock, CreateMutexA, WaitForSingleObject, ReleaseMutex, DeviceIoControl, GlobalUnlock, GlobalFree, CloseHandle, LoadLibraryA, GetVersionExA, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, RtlUnwind, WideCharToMultiByte, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetModuleHandleW, GetProcAddress, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, HeapCreate, HeapDestroy, VirtualFree, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, Sleep, HeapSize, ExitProcess, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, WriteFile, GetStdHandle, GetModuleFileNameA, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSectionAndSpinCount, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FlushFileBuffers
> ADVAPI32.dll: OpenServiceA, StartServiceA, CloseServiceHandle, RegOpenKeyExW, RegCreateKeyExA, RegQueryValueExA, RegCloseKey, RegQueryValueExW, OpenSCManagerA

( 8 exports )
GASPIBlockDevice, GASPIGetDriveLetter, GASPIGetMaxTransferSize, GASPINotifyMediaChange, GASPISetTimeout, GetASPI32SupportInfo, InstallDevices, SendASPI32Command

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=005ee82babf1d2d32188a75bedf500a4' target='_blank'>http://www.threatexpert.com/report.aspx?md5=005ee82babf1d2d32188a75bedf500a4</a>

Datei GEARAspiWDM.sys empfangen 2008.12.11 20:23:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.11 -
BitDefender 7.2 2008.12.11 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.11 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.11 -
Fortinet 3.117.0.0 2008.12.11 -
GData 19 2008.12.11 -
Ikarus T3.1.1.45.0 2008.12.11 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.11 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5460 2008.12.10 -
Microsoft 1.4205 2008.12.10 -
NOD32 3684 2008.12.11 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.11 -
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 -
Sophos 4.36.0 2008.12.11 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.11 -
TheHacker 6.3.1.2.183 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.11.1513 2008.12.11 -
VirusBuster 4.5.11.0 2008.12.11 -
weitere Informationen
File size: 15464 bytes
MD5...: ab8a6a87d9d7255c3884d5b9541a6e80
SHA1..: dcd8ca6f82db7938e30c0d4dd9a2a9f1253ed5d7
SHA256: d073b5d8a06efa6415e8f22dfe486de913113ae23f59cfc5eef1b3e694ce86f3
SHA512: d93a70e88c1dddbe8538edcfb2682a40a4e5f8c841f7bcf6a0d1963d63dd8fd9
9a0fef658cce14ca242405111b011f6a4b4c58b57e6b506fc664ecacbebe4943

ssdeep: 384:AulpGxwB0FmBEIW0Us3Jgv1PNpYJLW0jb8L:byzI+seGLtbs

PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11e09
timedatestamp.....: 0x47fbc45a (Tue Apr 08 19:15:38 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x1014 0x1080 6.25 084d1ba76d916157fa224cffd68c8803
.rdata 0x1500 0x123 0x180 4.05 c01b510f09605daec5354013fa9ef80e
.data 0x1680 0x19c 0x200 0.24 cea5497367bdba8ba5441970535272b4
PAGE 0x1880 0x48a 0x500 5.64 7d405f278a8031fc4f69c113a9e2c90f
INIT 0x1d80 0x44a 0x480 5.50 bf3d6de31388526773e2ca3a70fc71bd
.rsrc 0x2200 0x380 0x380 3.36 56242084ab6df59edaef1cd0a63b2693
.reloc 0x2580 0x15c 0x180 4.99 4034516e24d27fb2edd4d9795c7bf270

( 1 imports )
> ntoskrnl.exe: KeInitializeEvent, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, RtlCompareUnicodeString, IoGetDeviceProperty, KeSetEvent, InterlockedIncrement, InterlockedDecrement, IofCompleteRequest, IoGetCurrentProcess, IofCallDriver, KeWaitForSingleObject, IoReportTargetDeviceChange, IoBuildDeviceIoControlRequest, ExFreePool, ExAllocatePoolWithTag, memcpy, RtlQueryRegistryValues, memset, IoDeleteDevice, IoAttachDevice, ZwClose, _wcsnicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoFreeIrp, IoAllocateIrp, IoDetachDevice, PoStartNextPowerIrp, PoCallDriver, KeTickCount, KeBugCheckEx

( 0 exports )

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=ab8a6a87d9d7255c3884d5b9541a6e80' target='_blank'>http://www.threatexpert.com/report.aspx?md5=ab8a6a87d9d7255c3884d5b9541a6e80</a>
Datei ATKOSD2.exe empfangen 2008.12.11 20:14:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Alt 11.12.2008, 20:03   #14
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Datei DIFxAPI.dll empfangen 2008.12.11 20:30:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.11 -
BitDefender 7.2 2008.12.11 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.11 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.11 -
Fortinet 3.117.0.0 2008.12.11 -
GData 19 2008.12.11 -
Ikarus T3.1.1.45.0 2008.12.11 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.11 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5460 2008.12.10 -
Microsoft 1.4205 2008.12.10 -
NOD32 3684 2008.12.11 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.11 -
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 -
Sophos 4.36.0 2008.12.11 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.11 -
TheHacker 6.3.1.2.183 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.11.1513 2008.12.11 -
VirusBuster 4.5.11.0 2008.12.11 -
weitere Informationen
File size: 319456 bytes
MD5...: 1bd976dd77b31fe0f25708ad5c1351ae
SHA1..: 50d075688835df04484f0b93792a530cb47a1872
SHA256: b3c28941ceb057de44d9c322a38bb0f63c62d7ffbd91cf7970964413978f8eb7
SHA512: d58c2be88941c15214c51c59923437863a94db7b8080ead69017f7cce19d256d
be4d1d8498762476c75c26773dfba1aaff3bed615589ebf4b39df78df1b50b35

ssdeep: 6144:tjvrIFn6FqaWJbuDvodq8FDG3Ii+F55dPGJfKWXw:tjvkFODq1UYi+F1Pif
zXw

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6102a65c
timedatestamp.....: 0x4549ad56 (Thu Nov 02 08:33:26 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x45fbc 0x46000 6.31 e2dff57641b43b780eb0d2ec40447afc
.data 0x47000 0x33a4 0x1400 3.51 106088efc08174e11b49f0f1b042af6f
.rsrc 0x4b000 0x6d0 0x800 4.00 792a198074c0561d80b0aba87277694e
.reloc 0x4c000 0x4240 0x4400 5.01 bade17ce473ef1d84bd1a70dce28a85d

( 8 imports )
> ntdll.dll: RtlUnwind, RtlNtStatusToDosError, VerSetConditionMask
> KERNEL32.dll: VerifyVersionInfoW, GetVersionExW, lstrlenW, FreeLibrary, GetProcAddress, LoadLibraryW, DeleteFileW, SetFileAttributesW, GetEnvironmentVariableW, CompareStringW, GetFileAttributesW, MoveFileExW, GetTempFileNameW, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, CreateFileW, GetSystemWindowsDirectoryW, MultiByteToWideChar, WideCharToMultiByte, GetFullPathNameW, CopyFileW, LocalFree, RemoveDirectoryW, FindClose, FindNextFileW, lstrcmpW, FindFirstFileW, CreateDirectoryW, LocalReAlloc, LocalAlloc, GetProcessHeap, ReleaseMutex, GetSystemDirectoryW, DeviceIoControl, WaitForSingleObject, CreateMutexW, GetSystemTimeAsFileTime, Sleep, RaiseException, GetVersionExA, HeapSize, GetCommandLineA, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetModuleHandleA, ExitProcess, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, WriteFile, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, LoadLibraryA, SetFilePointer, GetConsoleCP, GetConsoleMode, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FlushFileBuffers, CreateFileA, GetThreadLocale, WaitForMultipleObjects, InterlockedCompareExchange, SetEvent, CreateEventW, SetEndOfFile, SetLastError, InterlockedExchange, lstrcmpiW, InterlockedDecrement, GetLastError, InterlockedIncrement, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, HeapFree, HeapReAlloc, EnterCriticalSection, HeapAlloc, LeaveCriticalSection, HeapDestroy, GetModuleHandleW, DeleteCriticalSection, GetModuleFileNameA, OutputDebugStringA, HeapCreate, InitializeCriticalSection, TlsGetValue
> USER32.dll: UnregisterClassA, CharLowerW, CharPrevW
> SETUPAPI.dll: CM_Query_And_Remove_SubTreeW, SetupDiSetDeviceRegistryPropertyW, SetupQueueCopyIndirectW, SetupDiCallClassInstaller, SetupDiBuildDriverInfoList, SetupDiSetDeviceInstallParamsW, SetupDiGetDeviceInstallParamsW, SetupDiSetSelectedDevice, SetupDiOpenDeviceInfoW, SetupDiOpenDevRegKey, SetupDiGetDeviceInstanceIdW, SetupDiCreateDeviceInfoList, SetupDiGetDriverInfoDetailW, SetupDiGetSelectedDriverW, SetupDiSetClassInstallParamsW, SetupDiClassNameFromGuidW, CM_Get_Device_ID_ListW, CM_Get_Device_ID_List_SizeW, CM_Locate_DevNodeW, CM_Get_DevNode_Status, CM_Setup_DevNode, SetupDiGetDeviceRegistryPropertyW, SetupGetTargetPathW, SetupInstallFilesFromInfSectionW, SetupPromptReboot, SetupInstallFromInfSectionW, SetupInstallServicesFromInfSectionW, SetupDiGetActualSectionToInstallW, SetupFindNextLine, SetupFindNextMatchLineW, SetupOpenInfFileW, SetupOpenFileQueue, SetupCommitFileQueueW, SetupQueueCopyW, SetupCloseFileQueue, SetupGetLineCountW, SetupCloseInfFile, SetupFindFirstLineW, SetupGetFieldCount, SetupGetIntField, CM_Enumerate_Classes, SetupDiEnumDeviceInfo, SetupInitDefaultQueueCallbackEx, SetupDefaultQueueCallbackW, SetupDiGetClassDevsW, SetupDiOpenClassRegKey, CM_Get_Device_IDW, SetupDiDestroyDeviceInfoList, SetupGetStringFieldW, pSetupGetGlobalFlags, pSetupSetGlobalFlags, SetupOpenAppendInfFileW, SetupCopyOEMInfW, SetupTermDefaultQueueCallback
> ADVAPI32.dll: FreeSid, CheckTokenMembership, AllocateAndInitializeSid, RegDeleteKeyW, RegSetValueExW, RegCreateKeyExW, RegOpenKeyExW, RegDeleteValueW, RegQueryValueExW, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessAllowedAce, InitializeAcl, GetLengthSid, SetEntriesInAclW, QueryServiceStatus, DeleteService, ControlService, CloseServiceHandle, OpenServiceW, OpenSCManagerW, StartServiceW, RegCloseKey
> ole32.dll: StringFromCLSID, CoTaskMemFree, CoInitialize, CoUninitialize, CoCreateInstance
> WINTRUST.dll: CryptCATAdminCalcHashFromFileHandle, WinVerifyTrust
> CRYPT32.dll: CertFreeCertificateContext, CertGetCTLContextProperty, CryptQueryObject, CertFreeCTLContext

( 12 exports )
DIFXAPISetLogCallbackA, DIFXAPISetLogCallbackW, DriverPackageGetPathA, DriverPackageGetPathW, DriverPackageInstallA, DriverPackageInstallW, DriverPackagePreinstallA, DriverPackagePreinstallW, DriverPackageUninstallA, DriverPackageUninstallW, SetDifxLogCallbackA, SetDifxLogCallbackW


Datei GEARAspiWDM.inf empfangen 2008.12.11 20:57:52 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/37 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.11 -
BitDefender 7.2 2008.12.11 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.11 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.11 -
Fortinet 3.117.0.0 2008.12.11 -
GData 19 2008.12.11 -
Ikarus T3.1.1.45.0 2008.12.11 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.11 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5460 2008.12.10 -
Microsoft 1.4205 2008.12.10 -
NOD32 3684 2008.12.11 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
Prevx1 V2 2008.12.11 -
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 -
Sophos 4.36.0 2008.12.11 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.11 -
TheHacker 6.3.1.2.183 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.11.1513 2008.12.11 -
VirusBuster 4.5.11.0 2008.12.11 -
weitere Informationen
File size: 2761 bytes
MD5...: 68ba19ec82ec8ba70fdf134829a379fd
SHA1..: 7c85408d1618b215f3e405637ecb454ad5df09d8
SHA256: 3e7cda725bb1e9866204e72b3eacb968db6803eb1c63ccea76c89e72fb63a8ff
SHA512: 03378ffd61e360160d905f346093329512c6dad6a7a793310ef753c48b9eb4bf
c118fe18af700c1112c27cb65fda89690ea2b65f48862b429eea874fb9a6e12b

ssdeep: 48:bhBu3d/X4fC2C4tC4gL1svYdB+4qxdB+4QnxdB+40fIckNKUKjTB1neWakG:f
wd/ofCKpysvYd04qxd04Qnxd040fIcA

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -



Datei DifXInstall32.exe empfangen 2008.12.11 20:52:12 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.11 -
BitDefender 7.2 2008.12.11 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.11 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.11 -
Fortinet 3.117.0.0 2008.12.11 -
GData 19 2008.12.11 -
Ikarus T3.1.1.45.0 2008.12.11 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.11 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5460 2008.12.10 -
Microsoft 1.4205 2008.12.10 -
NOD32 3684 2008.12.11 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.11 -
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 -
Sophos 4.36.0 2008.12.11 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.11 -
TheHacker 6.3.1.2.183 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.11.1513 2008.12.11 -
VirusBuster 4.5.11.0 2008.12.11 -
weitere Informationen
File size: 54632 bytes
MD5...: bfc01b2e453a904406694174428087ff
SHA1..: c61c8e507e0266b8c89362c8410dfb36b7c93398
SHA256: 64d4acce9154d2151f300b5f72b533e8df0a38b9a8a46ff04ce894defd752afe
SHA512: 81c1b351ff3dd7f63a04d5e0dae7e3974c0cf37ee9249e3a35e141232c856df4
aabea4b6f325b702337fcfa68173f59f0bc9f758421d9a9072cece730eba7b27

ssdeep: 768:/S08gsul3b5qwUfH/PvtLRSPzrW0bMQrJ6aJBp5ni7LtbP:/S0vbQVf/HB4+
0b2o5ni7JP

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401899
timedatestamp.....: 0x486e0af7 (Fri Jul 04 11:35:19 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6744 0x7000 6.38 d010967400e33671368af3e03f8dd430
.rdata 0x8000 0x1c10 0x2000 5.09 ae01ca10760cfe1bbae577da4475789e
.data 0xa000 0x197c 0x1000 2.12 ef4c63a7b2899fcde6caadde6182d0f2
.rsrc 0xc000 0x52c 0x1000 4.04 855962e9a8c4f0daeff54c1aedf8bcec

( 2 imports )
> DIFXAPI.dll: DriverPackageUninstallW, DriverPackageInstallW
> KERNEL32.dll: HeapAlloc, GetLastError, HeapFree, GetVersionExA, GetProcessHeap, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualFree, VirtualAlloc, HeapReAlloc, HeapDestroy, HeapCreate, GetProcAddress, GetModuleHandleA, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, GetModuleFileNameW, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSection, Sleep, RtlUnwind, LoadLibraryA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, HeapSize, GetLocaleInfoA, WideCharToMultiByte, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW

( 0 exports )

Alt 11.12.2008, 20:06   #15
m_shahali
 
MSN-Lifemessenger verschickt links - Standard

MSN-Lifemessenger verschickt links



Datei gearaspiwdmx86.cat empfangen 2008.12.11 21:03:05 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.11 -
BitDefender 7.2 2008.12.11 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.11 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.11 -
Fortinet 3.117.0.0 2008.12.11 -
GData 19 2008.12.11 -
Ikarus T3.1.1.45.0 2008.12.11 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.11 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5461 2008.12.11 -
Microsoft 1.4205 2008.12.10 -
NOD32 3684 2008.12.11 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.11 -
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 -
Sophos 4.36.0 2008.12.11 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.11 -
TheHacker 6.3.1.2.183 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.11.1513 2008.12.11 -
VirusBuster 4.5.11.0 2008.12.11 -
weitere Informationen
File size: 11168 bytes
MD5...: 024b6f51846e94b8b2569ccdbae91cc2
SHA1..: d213663b6381f01e45a131159a9defe018321cb3
SHA256: 315f6fd56623db59aeeacef4aa14d2c89372256070e8d666bdbfbff617cb2701
SHA512: 0cf6854b8ef18a23dc570363c9bb214ba6e7a73c576f286d3e23f22597e57aa6
839fd98ad115a295890331d25e6df7709ff8ccead6e224f778f0ce38425b827c

ssdeep: 192:VH9ubHvyAVo6opz+Hz+ehjAj369cc5AyIIUQi:kInhu1jAG9UIUF

PEiD..: -
TrID..: File type identification
DER encoded X509 Certificate (66.6%)
PKCS #7 Signature (33.3%)
PEInfo: -

Antwort

Themen zu MSN-Lifemessenger verschickt links
0 bytes, add-on, adobe, antivir, antivirus, ask toolbar, askbar, asus, audiograbber, avira, bho, bonjour, dateien, excel, explorer, google, gservice, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, microsoft, object, pdf, plug-in, programme, saver, screensaver, software, solution, toolbars, usb, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: MSN-Lifemessenger verschickt links


  1. web.de account verschickt selbständig unerwünschte Links
    Plagegeister aller Art und deren Bekämpfung - 12.03.2015 (9)
  2. Yahoo account verschickt links an Adressen aus dem Adressbuch
    Log-Analyse und Auswertung - 08.02.2015 (9)
  3. E-Mails mit Links von AOL Konto verschickt
    Plagegeister aller Art und deren Bekämpfung - 22.04.2014 (18)
  4. GMX verschickt spam links in meinem Namen
    Log-Analyse und Auswertung - 14.08.2012 (1)
  5. Mailadresse gekapert, verschickt böse links
    Plagegeister aller Art und deren Bekämpfung - 03.04.2012 (0)
  6. Live verschickt Emails mit diversen Links...
    Plagegeister aller Art und deren Bekämpfung - 08.09.2011 (0)
  7. msn/hotmail verschickt links ungewollt an kontaktliste
    Plagegeister aller Art und deren Bekämpfung - 26.05.2011 (1)
  8. MSN Live Messenger verschickt Links von fremden Websites
    Plagegeister aller Art und deren Bekämpfung - 21.02.2011 (24)
  9. MSN verschickt automatisch Links
    Plagegeister aller Art und deren Bekämpfung - 18.08.2010 (5)
  10. ICQ verschickt Links / Internet Explorer öffnet Fenster
    Plagegeister aller Art und deren Bekämpfung - 08.06.2010 (7)
  11. ICQ verschickt Links / Internet Explorer öffnet Fenster
    Plagegeister aller Art und deren Bekämpfung - 09.05.2010 (8)
  12. Msn verschickt Links (Loganhang)
    Log-Analyse und Auswertung - 30.01.2010 (1)
  13. MSN verschickt Links
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (6)
  14. MSN verschickt links
    Log-Analyse und Auswertung - 18.01.2009 (1)
  15. icq verschickt links mit virus
    Mülltonne - 28.10.2008 (0)
  16. MSN Messenger verschickt Rapidshare Links an Freunde
    Log-Analyse und Auswertung - 22.10.2008 (1)
  17. Bitte HiJackThis auswertung! MSN verschickt links
    Log-Analyse und Auswertung - 17.05.2008 (15)

Zum Thema MSN-Lifemessenger verschickt links - Hallo liebe Computerspezialisten, auch ich habe das bekannte MSN-Problem, dass ohne mein Wissen an die Kontaktliste Nachrichten versendet werden. Ich selbst habe keine Sonderheiten des PCs entdeckt, aber zwei meiner - MSN-Lifemessenger verschickt links...
Archiv
Du betrachtest: MSN-Lifemessenger verschickt links auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.