Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bin ich sie endlich los?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.02.2009, 15:14   #1
Ivan1914
 
Bin ich sie endlich los? - Frage

Bin ich sie endlich los?



Hallo an alle hilfsbereiten,

nachdem mich mein computer nun die letzten wochen zur totalen weissglut
gebracht hat mit diversen trojanern, die sich gegenseitig die klinke in die
hand gegeben haben, z.B.:
TR/Agent.32077.A
TR/Dropper.Gen'
TR/BHO.tko'
TR/BHO.684544
TR/Agent.awhb
u.v.a.

bin ich guter hoffnung, sie nun vertrieben zu haben. ich wollte trotzdem um
kurze hilfe bitten, dass sich (bei zeiten, eilt nicht) ein versierter entseucher
einmal meine aktuellen logs anschaut und sagt, ob der ganze rotz
wirklich komplett entfernt ist.

für die mühen vorab vielen vielen dank.

Avira findet um suchlauf nix mehr, also zuerst hjt:

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 15:26:40, on 18.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
J:\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht.p://wxw.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht.p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht.p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht.p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {672cbaa8-e452-54c4-dcff-29d455b49a0c} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2k\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - ht.p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
         
hier GMER:

Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-18 15:42:30
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwClose [0xF73B6818]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwCreateKey [0xF73B67D0]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwCreatePagingFile [0xF73AAA20]
SSDT            F7B9121C                                                                                                                            ZwCreateThread
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwEnumerateKey [0xF73AB2A8]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwEnumerateValueKey [0xF73B6910]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwOpenKey [0xF73B6794]
SSDT            F7B91208                                                                                                                            ZwOpenProcess
SSDT            F7B9120D                                                                                                                            ZwOpenThread
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwQueryKey [0xF73AB2C8]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwQueryValueKey [0xF73B6866]
SSDT            d347bus.sys (PnP BIOS Extension/ )                                                                                                  ZwSetSystemPowerState [0xF73B60B0]
SSDT            F7B91217                                                                                                                            ZwTerminateProcess
SSDT            F7B91212                                                                                                                            ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                              86F70C90
Device          \FileSystem\Fastfat \FatCdrom                                                                                                       86413710
Device          \Driver\prodrv06 \Device\ProDrv06                                                                                                   E1BC7C30
Device          \Driver\Cdrom \Device\CdRom0                                                                                                        862A6748
Device          \FileSystem\Rdbss \Device\FsWrap                                                                                                    86113188
Device          \Driver\Cdrom \Device\CdRom1                                                                                                        862A6748
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                  862A02A0
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                  862A02A0
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                                         862A02A0
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                                         862A02A0
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17                                                                                        862A02A0
Device          \Driver\prohlp02 \Device\ProHlp02                                                                                                   E100EBF0
Device          \Driver\USBSTOR \Device\00000078                                                                                                    sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\Srv \Device\LanmanServer                                                                                                8609E7F0
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                                   86048C00
Device          \Driver\USBSTOR \Device\0000007b                                                                                                    sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                         86048C00
Device          \FileSystem\Npfs \Device\NamedPipe                                                                                                  863212D8
Device          \FileSystem\Msfs \Device\Mailslot                                                                                                   86F444E8
Device          \Driver\viasraid \Device\Scsi\viasraid1                                                                                             prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0                                                                          862FCE70
Device          \Driver\UlSata \Device\Scsi\UlSata1Port3Path0Target4Lun0                                                                            prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\UlSata \Device\Scsi\UlSata1                                                                                                 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\d347prt \Device\Scsi\d347prt1                                                                                               862FCE70
Device          \FileSystem\Fastfat \Fat                                                                                                            86413710

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                                                  85FE3380
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                                                   85FE3380
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                                       85FE3380
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                                                    85FE3380
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                                                   85FE3380
Device          \FileSystem\Cdfs \Cdfs                                                                                                              B7CC2400
Device          \FileSystem\Cdfs \Cdfs                                                                                                              8575CEA8

---- Modules - GMER 1.0.14 ----

Module          _________                                                                                                                           F730C000-F7324000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00076112e30f                                                         
Reg             HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40                                                                            
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00076112e30f                                                             

---- EOF - GMER 1.0.14 ----
         
malwarebytes Anti-Malware sagt auch er hätte nix gefunden.

Gruß
Ivan

Alt 18.02.2009, 19:37   #2
Ivan1914
 
Bin ich sie endlich los? - Standard

Bin ich sie endlich los?



verdammt, ich bin sie doch nicht los...
kam schon wieder einer drauf, diesmal wieder der TR/Agent.

ich glaube ich bitte dann doch mal um hilfe. kann ich noch mit irgendwelchen logdateien/
auswertungen dienen?

gruß
ivan
__________________


Alt 19.02.2009, 07:02   #3
Chris4You
 
Bin ich sie endlich los? - Standard

Bin ich sie endlich los?



Hi,

prüfen:

Arbeitsplatz->rechte Maustaste ->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html.
Danach Fullscan und alles bereinigen lassen und Log posten!

ComboFix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris
__________________
__________________

Alt 19.02.2009, 11:49   #4
Ivan1914
 
Bin ich sie endlich los? - Standard

Bin ich sie endlich los?



Hallo Chris,

erstmal vielen Dank für Deine Hilfe.

Die TDSSserv.sys hatte ich bereits deaktiviert.

Hier die Auswertung des aktualisierten und umkonfigurierten Antivirs:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 19. Februar 2009  10:04

Es wird nach 1255087 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     HAUBITZE

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 09:20:33
ANTIVIR2.VDF  : 7.1.2.13        2048 Bytes  11.02.2009 09:20:34
ANTIVIR3.VDF  : 7.1.2.45      202752 Bytes  19.02.2009 08:59:10
Engineversion : 8.2.0.83  
AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 08:56:28
AESCRIPT.DLL  : 8.1.1.47      348539 Bytes  14.02.2009 09:16:45
AESCN.DLL     : 8.1.1.7       127347 Bytes  14.02.2009 09:16:43
AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.8       397684 Bytes  05.02.2009 09:16:21
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  09.01.2009 09:50:44
AEHEUR.DLL    : 8.1.0.94     1606006 Bytes  18.02.2009 09:17:03
AEHELP.DLL    : 8.1.2.0       119159 Bytes  09.01.2009 09:50:37
AEGEN.DLL     : 8.1.1.17      332148 Bytes  18.02.2009 09:16:57
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.6.6       176501 Bytes  18.02.2009 09:16:55
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: löschen
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, G:, H:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 19. Februar 2009  10:04

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '66409' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyLogin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NSLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fppdis1.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lexbces.exE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Eugen\Desktop\ComboFix.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Eugen\Eigene Dateien\Eigene Bilder\frostwire-4.13.5.windows.exe
    [0] Archivtyp: NSIS
      --> [PluginsDir]/apbarSp.FrostWire.exe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/AdInstaller.F
    [HINWEIS]   Die Datei wurde gelöscht.
C:\RECYCLER\S-1-5-21-515967899-1935655697-839522115-1004\Dc12.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Spb Time\SpbPocketPlus4.arm.cab
    [0] Archivtyp: CAB (Microsoft)
    --> 000Setup.999
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070373.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.32077.A
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070380.dll
    [FUND]      Ist das Trojanische Pferd TR/BHO.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070432.dll
    [FUND]      Ist das Trojanische Pferd TR/BHO.tko
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP693\A0070477.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.qla
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0071410.exe
    [0] Archivtyp: NSIS
    --> ProgramFilesDir/ppcb_32.exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.VB.kam
    [FUND]      Ist das Trojanische Pferd TR/Agent.85460
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0071411.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0072420.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0072439.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
D:\RECYCLED\NPROTECT\00000392.ZIP
    [0] Archivtyp: ZIP
      --> SETUP.EXE
        [1] Archivtyp: ZIP SFX (self extracting)
        --> SERV-U32.EXE
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Serv-U.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
D:\cdtemp\Moorhuhn\Moorhuhn.exe
    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn
    [HINWEIS]   Die Datei wurde gelöscht.
D:\System Volume Information\_restore{059C5293-6AF9-4AA2-872D-B08CC58CF282}\RP699\A0072440.exe
    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <Volume>
E:\dtm2\RD2.BAK
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'G:\'
G:\Microsoft Exchange Server 2000 Enterprise.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> SUPPORT\SYMBOLS\I386\DATA2.CAB
        [1] Archivtyp: CAB (Microsoft)
        --> _F52
          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
G:\Sicherung Alter rechner\Spiele\Ghost Recon (FULL VERSION).exe
    [0] Archivtyp: ZIP SFX (self extracting)
      --> ghostr/GHOSTREC.ACE
        [1] Archivtyp: ACE
        --> Data\Motion\iv_apc_bradleyd0.anm
          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'H:\'


Ende des Suchlaufs: Donnerstag, 19. Februar 2009  12:03
Benötigte Zeit:  1:58:30 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12084 Verzeichnisse wurden überprüft
 516497 Dateien wurden geprüft
     16 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
     15 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 516480 Dateien ohne Befall
   3611 Archive wurden durchsucht
      4 Warnungen
     15 Hinweise
  66409 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
und die combofix auswertung:

Code:
ATTFilter
ComboFix 09-02-17.02 - Eugen 2009-02-19 12:35:52.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1023.626 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Eugen\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((   Dateien erstellt von 2009-01-19 bis 2009-02-19  ))))))))))))))))))))))))))))))
.

2009-02-18 15:56 . 2009-02-18 15:56	<DIR>	d--------	c:\dokumente und einstellungen\Eugen\Anwendungsdaten\Malwarebytes
2009-02-18 15:56 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 15:56 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-02-18 15:50 . 2009-02-18 15:56	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-02-18 15:50 . 2009-02-18 15:50	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-18 15:19 . 2008-04-17 21:13	811,008	--a------	C:\gmer.exe
2009-02-18 15:19 . 2009-02-18 15:28	250	--a------	c:\windows\gmer.ini
2009-02-18 14:06 . 2008-12-16 09:29	1,718,272	--a------	c:\windows\system32\AnipUninst1.exe
2009-02-18 13:54 . 2009-02-18 13:54	<DIR>	d--------	c:\programme\CCleaner
2009-02-16 01:17 . 2009-02-16 01:17	74,603	--a------	c:\windows\system32\wrfxkiyreqop
2009-01-30 13:06 . 2009-01-30 13:06	<DIR>	d--------	c:\programme\Gemeinsame Dateien\AVSMedia
2009-01-30 13:06 . 2009-02-18 14:07	<DIR>	d--------	c:\programme\AVS4YOU
2009-01-30 13:06 . 2009-01-30 13:06	<DIR>	d--------	c:\dokumente und einstellungen\Eugen\Anwendungsdaten\AVS4YOU
2009-01-30 13:06 . 2009-01-30 13:06	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-01-30 13:06 . 2006-03-03 10:02	658,432	--a------	c:\windows\system32\cc3270mt.dll
2009-01-30 13:06 . 2002-01-05 15:40	487,424	--a------	c:\windows\system32\msvcp70.dll
2009-01-30 13:06 . 2003-05-21 13:50	24,576	--a------	c:\windows\system32\msxml3a.dll
2009-01-30 12:20 . 2009-01-30 14:28	28	--a------	c:\windows\Robota.INI
2009-01-30 12:19 . 2009-01-30 12:19	<DIR>	d--------	c:\dokumente und einstellungen\Eugen\Anwendungsdaten\MAGIX
2009-01-30 12:19 . 2001-03-26 04:41	245,760	--a------	c:\windows\system32\mp4sds32.ax
2009-01-30 12:17 . 2009-01-30 12:18	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2009-01-30 12:16 . 2009-02-18 14:10	<DIR>	d--------	c:\windows\system32\MAGIX
2009-01-30 12:16 . 2009-02-18 14:10	<DIR>	d--------	c:\programme\MAGIX
2009-01-30 12:16 . 2008-04-15 15:14	700,416	--a------	c:\windows\system32\mgxoschk.dll
2009-01-30 12:16 . 2007-04-27 09:43	120,200	--a------	c:\windows\system32\DLLDEV32i.dll
2009-01-30 12:16 . 2009-01-30 12:18	7,119	--a------	c:\windows\mgxoschk.ini
2009-01-30 11:27 . 2007-03-08 00:51	129,784	---------	c:\windows\system32\pxafs.dll
2009-01-30 11:02 . 2009-01-30 13:48	<DIR>	d--------	c:\dokumente und einstellungen\Eugen\Anwendungsdaten\Roxio
2009-01-30 10:16 . 2009-02-18 14:12	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Napster
2009-01-27 11:58 . 2008-04-14 03:22	221,184	--a------	c:\windows\system32\wmpns.dll
2009-01-27 10:09 . 2009-01-27 10:09	<DIR>	d--------	c:\windows\system32\de-de
2009-01-27 10:09 . 2009-01-27 10:09	<DIR>	d--------	c:\windows\system32\de
2009-01-27 10:09 . 2009-01-27 10:09	<DIR>	d--------	c:\windows\system32\bits
2009-01-27 10:09 . 2009-01-27 10:09	<DIR>	d--------	c:\windows\l2schemas

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 13:14	---------	d-----w	c:\programme\Symantec
2009-01-30 09:16	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-01-09 10:42	---------	d-----w	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Corel
2009-01-08 14:49	---------	d-----w	c:\programme\Avira
2009-01-08 14:49	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-08 11:40	198,317	----a-w	c:\windows\kiqpb8002.exe
2003-07-17 02:26	448,640	----a-w	c:\windows\inf\EL2K_N64.sys
2003-07-17 02:22	147,328	----a-w	c:\windows\inf\EL2K_XP.sys
2003-06-03 07:47	147,328	----a-w	c:\windows\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((((   SnapShot@2009-02-18_14.00.01,47   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-18 14:19:56	884,736	----a-w	c:\windows\gmer.dll
+ 2008-04-17 20:13:02	811,008	----a-w	c:\windows\gmer.exe
+ 2009-02-18 14:19:56	85,969	----a-w	c:\windows\system32\drivers\gmer.sys
- 2009-02-03 23:21:12	21,244,864	----a-w	c:\windows\system32\MRT.exe
+ 2009-02-11 19:56:18	21,244,872	----a-w	c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"1&1 EasyLogin"="c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe" [2008-02-27 1540096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-08-22 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"pdfFactory Pro Dispatcher v1"="c:\windows\System32\spool\DRIVERS\W32X86\2\fppdis1.exe" [2002-04-05 360448]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NSLauncher"="c:\programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-10-01 3104768]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"PtiuPbmd"="ptipbm.dll" [2003-01-15 c:\windows\system32\ptipbm.dll]
"AtiPTA"="atiptaxx.exe" [2006-02-22 c:\windows\system32\atiptaxx.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 c:\windows\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 c:\windows\KHALMNPR.Exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office2k\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Eugen^Startmenü^Programme^Autostart^p2pmax.lnk]
path=c:\dokumente und einstellungen\Eugen\Startmenü\Programme\Autostart\p2pmax.lnk
backup=c:\windows\pss\p2pmax.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Eugen^Startmenü^Programme^Autostart^ppcb_32.lnk]
path=c:\dokumente und einstellungen\Eugen\Startmenü\Programme\Autostart\ppcb_32.lnk
backup=c:\windows\pss\ppcb_32.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Eugen^Startmenü^Programme^Autostart^runit_32.lnk]
path=c:\dokumente und einstellungen\Eugen\Startmenü\Programme\Autostart\runit_32.lnk
backup=c:\windows\pss\runit_32.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"e:\\pes2008\\PES2008.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2005-01-15 75904]
R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8xx.sys [2006-06-02 465988]
S3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\Dyncal.sys [2004-09-12 8320]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{672cbaa8-e452-54c4-dcff-29d455b49a0c} - (no file)
MSConfigStartUp-BitTorrent DNA - c:\programme\DNA\btdna.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 12:37:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-19 12:39:09
ComboFix-quarantined-files.txt  2009-02-19 11:38:57
ComboFix2.txt  2009-02-18 13:00:58

Vor Suchlauf: 20 Verzeichnis(se), 63.355.064.320 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 63,343,083,520 Bytes frei

144	--- E O F ---	2009-02-11 02:02:21
         
Gruß und Dank

Ivan

Alt 19.02.2009, 13:31   #5
Chris4You
 
Bin ich sie endlich los? - Standard

Bin ich sie endlich los?



Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\wrfxkiyreqop
c:\windows\system32\AnipUninst1.exe (Animated wallpaper?)
c:\windows\kiqpb8002.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!
Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Scanne mit Ewido-Micro, poste die Funde (bitte keine Cookies, sonst werden wir hier erschlagen!)
Ewido Micro: http://downloads.ewido.net/ewido_micro.exe

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 19.02.2009, 14:53   #6
Ivan1914
 
Bin ich sie endlich los? - Standard

Bin ich sie endlich los?



Hier die 3 Total-Virus ergebnisse. Da eine scheinbar
verseucht ist habe ich noch nicht ewido laufen lassen und
habe auch noch nicht neu gestartet seit combofix.

c:\windows\system32\wrfxkiyreqop
Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.0.0.93 2009.02.19 - 
AhnLab-V3 2009.2.19.0 2009.02.19 - 
AntiVir 7.9.0.83 2009.02.19 - 
Authentium 5.1.0.4 2009.02.19 - 
Avast 4.8.1335.0 2009.02.18 - 
AVG 8.0.0.237 2009.02.19 - 
BitDefender 7.2 2009.02.19 - 
CAT-QuickHeal 10.00 2009.02.19 - 
ClamAV 0.94.1 2009.02.19 - 
Comodo 983 2009.02.19 - 
DrWeb 4.44.0.09170 2009.02.19 - 
eSafe 7.0.17.0 2009.02.18 - 
eTrust-Vet 31.6.6365 2009.02.19 - 
F-Prot 4.4.4.56 2009.02.19 - 
F-Secure 8.0.14470.0 2009.02.19 - 
Fortinet 3.117.0.0 2009.02.19 - 
GData 19 2009.02.19 - 
Ikarus T3.1.1.45.0 2009.02.19 - 
K7AntiVirus 7.10.630 2009.02.18 - 
Kaspersky 7.0.0.125 2009.02.19 - 
McAfee 5529 2009.02.17 - 
McAfee+Artemis 5529 2009.02.17 - 
Microsoft 1.4306 2009.02.19 - 
NOD32 3867 2009.02.19 - 
Norman 6.00.06 2009.02.19 - 
nProtect 2009.1.8.0 2009.02.19 - 
Panda 10.0.0.10 2009.02.19 - 
PCTools 4.4.2.0 2009.02.19 - 
Prevx1 V2 2009.02.19 - 
Rising 21.17.32.00 2009.02.19 - 
SecureWeb-Gateway 6.7.6 2009.02.19 - 
Sophos 4.38.0 2009.02.19 - 
Sunbelt 3.2.1855.2 2009.02.17 - 
Symantec 10 2009.02.19 - 
TheHacker 6.3.2.2.259 2009.02.18 - 
TrendMicro 8.700.0.1004 2009.02.19 - 
VBA32 3.12.10.0 2009.02.18 - 
ViRobot 2009.2.19.1615 2009.02.19 - 
VirusBuster 4.5.11.0 2009.02.18 - 
weitere Informationen 
File size: 74603 bytes 
MD5...: 2fae23383ab70d44bd6803de295929e9 
SHA1..: 313f6fad82720dbd703730fce39396b114bf782f 
SHA256: d8eec64a45a18029564e12d20c0b3852efc3575dd3782dee28a3a17a3cd559c3 
SHA512: 5596aea4a9b3d14adb1ddd3df4ac37eb428feec0f725a769afb6358dcc08e46a
04a7b17d5e36db80e58ca177fb53b0ee1423796be4aca4a41a07017ca0390b84 
ssdeep: 384:TPbjAF5bINz+IMy5B9ZyCoRAl+6w1r4pVUIqvnVTPLOmPJm68dYdd2OEs4lJ
t83:TPPwRAl+1LxX4lJt83
 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -
         
c:\windows\system32\AnipUninst1.exe

Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.0.0.93 2009.02.19 - 
AhnLab-V3 2009.2.19.0 2009.02.19 - 
AntiVir 7.9.0.83 2009.02.19 - 
Authentium 5.1.0.4 2009.02.19 - 
Avast 4.8.1335.0 2009.02.18 - 
AVG 8.0.0.237 2009.02.19 - 
BitDefender 7.2 2009.02.19 - 
CAT-QuickHeal 10.00 2009.02.19 - 
ClamAV 0.94.1 2009.02.19 - 
Comodo 983 2009.02.19 - 
DrWeb 4.44.0.09170 2009.02.19 - 
eSafe 7.0.17.0 2009.02.18 - 
eTrust-Vet 31.6.6365 2009.02.19 - 
F-Prot 4.4.4.56 2009.02.19 - 
F-Secure 8.0.14470.0 2009.02.19 - 
Fortinet 3.117.0.0 2009.02.19 - 
GData 19 2009.02.19 - 
Ikarus T3.1.1.45.0 2009.02.19 - 
K7AntiVirus 7.10.630 2009.02.18 - 
Kaspersky 7.0.0.125 2009.02.19 - 
McAfee 5529 2009.02.17 - 
McAfee+Artemis 5529 2009.02.17 - 
Microsoft 1.4306 2009.02.19 - 
NOD32 3867 2009.02.19 - 
Norman 6.00.06 2009.02.19 - 
nProtect 2009.1.8.0 2009.02.19 - 
Panda 10.0.0.10 2009.02.19 - 
PCTools 4.4.2.0 2009.02.19 - 
Prevx1 V2 2009.02.19 - 
Rising 21.17.32.00 2009.02.19 - 
SecureWeb-Gateway 6.7.6 2009.02.19 - 
Sophos 4.38.0 2009.02.19 - 
Sunbelt 3.2.1855.2 2009.02.17 - 
Symantec 10 2009.02.19 - 
TheHacker 6.3.2.2.259 2009.02.18 - 
TrendMicro 8.700.0.1004 2009.02.19 - 
VBA32 3.12.10.0 2009.02.18 - 
ViRobot 2009.2.19.1615 2009.02.19 - 
VirusBuster 4.5.11.0 2009.02.18 - 
weitere Informationen 
File size: 1718272 bytes 
MD5...: de95fd7c767d919b4acd4ee3fa80884e 
SHA1..: 4ce074f981543640bbba44aa92b59967af9d0268 
SHA256: a6ba4ea1e35be7a50a88bb28dece5f0290e2164c6c6fc26e68df0b305df132da 
SHA512: 202591ecada955f9468d016a622a1d7aa8271999b589268fed021e43f79d8820
22a5be3293aeb25b841caeb3bd1d96256232ebcc8be9fa9a0be02797eb768a58 
ssdeep: 24576:fCwiPdYMPr8A48lPSPND++wrZ8MqQv76YrV0Ufo1q8:k6MPrTI++PS+vn
 
PEiD..: - 
TrID..: File type identification
Win32 Dynamic Link Library - Borland C/C++ (50.7%)
Windows OCX File (28.3%)
InstallShield setup (9.8%)
Win32 Executable Delphi generic (3.3%)
DOS Executable Borland C++ (2.9%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x475c4aa6 (Sun Dec 09 20:05:58 2007)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8c000 0x8bc00 6.53 cee03d3237d687e328e4b684749fafdd
.data 0x8d000 0x17000 0x12e00 5.73 60051f27ed005b24ad24d8046595ec60
.tls 0xa4000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rdata 0xa5000 0x1000 0x200 0.21 a3021adbed19db194f6d62656048d347
.idata 0xa6000 0x3000 0x2a00 5.03 18c980af857346d4705f4a50b80439f6
.edata 0xa9000 0x2000 0x2000 5.58 29af27dc5afd9d0f9c53af6072427530
.rsrc 0xab000 0xf7000 0xf6c00 7.22 f928ee436e8a9fe73378ccfa4e97a142
.reloc 0x1a2000 0x9000 0x8e00 6.63 8aeeffe41413cfef0b0f4b81cf79f3f5

( 9 imports ) 
> ADVAPI32.DLL: RegCloseKey, RegCreateKeyA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegFlushKey, RegOpenKeyA, RegOpenKeyExA, RegQueryInfoKeyA, RegQueryValueExA, RegSetValueExA
> KERNEL32.DLL: CloseHandle, CompareStringA, CopyFileA, CreateDirectoryA, CreateEventA, CreateFileA, CreateFileW, CreateMutexA, CreateThread, DebugBreak, DeleteCriticalSection, DeleteFileA, EnterCriticalSection, EnumCalendarInfoA, ExitProcess, ExitThread, FileTimeToDosDateTime, FileTimeToLocalFileTime, FindClose, FindFirstFileA, FindResourceA, FormatMessageA, FreeLibrary, FreeResource, GetACP, GetCPInfo, GetCommandLineA, GetCurrentProcessId, GetCurrentThreadId, GetDateFormatA, GetDiskFreeSpaceA, GetEnvironmentStrings, GetExitCodeThread, GetFileAttributesA, GetFileAttributesW, GetFileSize, GetFileType, GetLastError, GetLocalTime, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetProcAddress, GetProcessHeap, GetStartupInfoA, GetStdHandle, GetStringTypeW, GetSystemDirectoryA, GetSystemInfo, GetSystemTime, GetThreadLocale, GetTickCount, GetVersion, GetVersionExA, GetWindowsDirectoryA, GlobalAddAtomA, GlobalAlloc, GlobalDeleteAtom, GlobalFree, GlobalHandle, GlobalLock, GlobalReAlloc, GlobalUnlock, HeapAlloc, HeapFree, InitializeCriticalSection, InterlockedDecrement, InterlockedExchange, InterlockedIncrement, LeaveCriticalSection, LoadLibraryA, LoadLibraryExA, LoadResource, LocalAlloc, LocalFree, LockResource, MulDiv, MultiByteToWideChar, RaiseException, ReadFile, RemoveDirectoryA, ResumeThread, RtlUnwind, SetConsoleCtrlHandler, SetEndOfFile, SetErrorMode, SetEvent, SetFilePointer, SetHandleCount, SetLastError, SetThreadLocale, SizeofResource, Sleep, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualQuery, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcpyA, lstrcpynA, lstrlenA
> WSOCK32.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> COMCTL32.DLL: ImageList_Add, ImageList_BeginDrag, ImageList_Create, ImageList_Destroy, ImageList_DragEnter, ImageList_DragLeave, ImageList_DragMove, ImageList_DragShowNolock, ImageList_Draw, ImageList_EndDrag, ImageList_GetBkColor, ImageList_GetDragImage, ImageList_GetIconSize, ImageList_GetImageCount, ImageList_Read, ImageList_Remove, ImageList_Replace, ImageList_ReplaceIcon, ImageList_SetBkColor, ImageList_SetDragCursorImage, ImageList_SetIconSize, ImageList_Write, ImageList_DrawEx
> GDI32.DLL: BitBlt, CopyEnhMetaFileA, CreateBitmap, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateDIBitmap, CreateFontIndirectA, CreateHalftonePalette, CreatePalette, CreatePenIndirect, CreateSolidBrush, DeleteDC, DeleteEnhMetaFile, DeleteObject, ExcludeClipRect, GdiFlush, GetBitmapBits, GetBrushOrgEx, GetClipBox, GetCurrentPositionEx, GetDCOrgEx, GetDIBColorTable, GetDIBits, GetDeviceCaps, GetEnhMetaFileBits, GetEnhMetaFileHeader, GetEnhMetaFilePaletteEntries, GetObjectA, GetPaletteEntries, GetPixel, GetStockObject, GetSystemPaletteEntries, GetTextExtentPoint32A, GetTextMetricsA, GetWinMetaFileBits, GetWindowOrgEx, IntersectClipRect, LineTo, MaskBlt, MoveToEx, PatBlt, PlayEnhMetaFile, Polyline, RealizePalette, RectVisible, Rectangle, RestoreDC, SaveDC, SelectObject, SelectPalette, SetBkColor, SetBkMode, SetBrushOrgEx, SetDIBColorTable, SetEnhMetaFileBits, SetPixel, SetROP2, SetStretchBltMode, SetTextColor, SetViewportOrgEx, SetWinMetaFileBits, SetWindowOrgEx, StretchBlt, UnrealizeObject
> SHELL32.DLL: SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteA, SHGetPathFromIDListA
> USER32.DLL: ActivateKeyboardLayout, AdjustWindowRectEx, BeginPaint, BringWindowToTop, CallNextHookEx, CallWindowProcA, CharLowerA, CharLowerBuffA, CharNextA, CharUpperBuffA, CheckMenuItem, ClientToScreen, CreateIcon, CreateMenu, CreatePopupMenu, CreateWindowExA, DefFrameProcA, DefMDIChildProcA, DefWindowProcA, DeleteMenu, DestroyCursor, DestroyIcon, DestroyMenu, DestroyWindow, DispatchMessageA, DrawEdge, DrawFocusRect, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawTextA, EnableMenuItem, EnableScrollBar, EnableWindow, EndPaint, EnumThreadWindows, EnumWindows, EqualRect, FillRect, FindWindowA, FrameRect, GetActiveWindow, GetCapture, GetClassInfoA, GetClientRect, GetClipboardData, GetCursor, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetFocus, GetForegroundWindow, GetIconInfo, GetKeyNameTextA, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetMenu, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuState, GetMenuStringA, GetParent, GetPropA, GetScrollInfo, GetScrollPos, GetScrollRange, GetSubMenu, GetSysColor, GetSystemMetrics, GetTopWindow, GetWindow, GetWindowDC, GetWindowLongA, GetWindowPlacement, GetWindowRect, GetWindowTextA, GetWindowThreadProcessId, InflateRect, InsertMenuA, InsertMenuItemA, IntersectRect, InvalidateRect, IsChild, IsDialogMessageA, IsIconic, IsRectEmpty, IsWindow, IsWindowEnabled, IsWindowVisible, IsZoomed, KillTimer, LoadBitmapA, LoadCursorA, LoadIconA, LoadKeyboardLayoutA, LoadStringA, MapVirtualKeyA, MapWindowPoints, MessageBoxA, MsgWaitForMultipleObjects, OemToCharA, OffsetRect, PeekMessageA, PostMessageA, PostQuitMessage, PtInRect, RegisterClassA, RegisterClipboardFormatA, RegisterWindowMessageA, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, ScreenToClient, ScrollWindow, SendMessageA, SetActiveWindow, SetCapture, SetClassLongA, SetCursor, SetFocus, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetRect, SetScrollInfo, SetScrollPos, SetScrollRange, SetTimer, SetWindowLongA, SetWindowPlacement, SetWindowPos, SetWindowTextA, SetWindowsHookExA, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowWindow, SystemParametersInfoA, TrackPopupMenu, TranslateMDISysAccel, TranslateMessage, UnhookWindowsHookEx, UnregisterClassA, UpdateWindow, WaitMessage, WinHelpA, WindowFromPoint, wsprintfA, GetSystemMenu
> OLE32.DLL: CLSIDFromProgID, CoCreateInstance, CoInitialize, CoUninitialize, IsEqualGUID
> OLEAUT32.DLL: GetErrorInfo, SafeArrayAccessData, SafeArrayGetElement, SafeArrayGetLBound, SafeArrayGetUBound, SafeArrayPtrOfIndex, SafeArrayUnaccessData, SysAllocStringLen, SysFreeString, SysReAllocStringLen, SysStringLen, VariantChangeTypeEx, VariantClear, VariantCopyInd, VariantInit

( 177 exports ) 
@$xp$10Psock@PINT, @$xp$12Nmurl@TNMURL, @$xp$12Psock@PPChar, @$xp$12Psock@TNMReg, @$xp$14Nmhttp@CmdType, @$xp$14Nmhttp@TNMHTTP, @$xp$14Psock@PLongint, @$xp$14Psock@PWSAData, @$xp$15Nmuue@UUMethods, @$xp$15Psock@PHostInfo, @$xp$15Psock@PPLongInt, @$xp$15Psock@THostInfo, @$xp$15Psock@TOnStatus, @$xp$16Psock@ESockError, @$xp$16Psock@PTimeValue, @$xp$16Psock@TPowersock, @$xp$16Psock@TTimeValue, @$xp$17Psock@EAbortError, @$xp$17Psock@PServerInfo, @$xp$17Psock@PSocketList, @$xp$17Psock@TServerInfo, @$xp$17Psock@TSocketList, @$xp$18Nmhttp@THeaderInfo, @$xp$18Psock@TThreadTimer, @$xp$19Nmhttp@TResultEvent, @$xp$19Nmurl@TOnErrorEvent, @$xp$19Nmuue@ExchangeTable, @$xp$19Psock@PProtocolInfo, @$xp$19Psock@THandlerEvent, @$xp$19Psock@TOnErrorEvent, @$xp$19Psock@TProtocolInfo, @$xp$20Nmhttp@HTTPException, @$xp$20Nmuue@TNMUUProcessor, @$xp$20Psock@PSocketAddress, @$xp$20Psock@TSocketAddress, @$xp$21Psock@TOnHostResolved, @$xp$22Nmextstr@TExStringList, @$xp$22Psock@TNMGeneralServer, @$xp$23Psock@PTNMGeneralServer, @$xp$28Psock@InstantiateServethread, @@Globals@Finalize, @@Globals@Initialize, @@Mainform@Finalize, @@Mainform@Initialize, @Nmextstr@Finalization$qqrv, @Nmextstr@TExStringList@, @Nmextstr@TExStringList@GetValue$qqrx17System@AnsiString, @Nmextstr@TExStringList@IndexOfName$qqrx17System@AnsiString, @Nmextstr@TExStringList@SetValue$qqrx17System@AnsiStringt1, @Nmextstr@initialization$qqrv, @Nmhttp@Finalization$qqrv, @Nmhttp@HTTPException@, @Nmhttp@THeaderInfo@, @Nmhttp@TNMHTTP@, @Nmhttp@TNMHTTP@$bctr$qqrp18Classes@TComponent, @Nmhttp@TNMHTTP@$bdtr$qqrv, @Nmhttp@TNMHTTP@Abort$qqrv, @Nmhttp@TNMHTTP@AssembleHTTPHeader$qqrv, @Nmhttp@TNMHTTP@Copy$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Delete$qqr17System@AnsiString, @Nmhttp@TNMHTTP@Get$qqr17System@AnsiString, @Nmhttp@TNMHTTP@HTTPConnect$qqrv, @Nmhttp@TNMHTTP@Head$qqr17System@AnsiString, @Nmhttp@TNMHTTP@Link$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Move$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Options$qqr17System@AnsiString, @Nmhttp@TNMHTTP@ParseURL$qqrv, @Nmhttp@TNMHTTP@Patch$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Post$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Put$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@RemoveHeader$qqrv, @Nmhttp@TNMHTTP@SendHTTP$qqrv, @Nmhttp@TNMHTTP@Trace$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@UnLink$qqr17System@AnsiStringt1, @Nmhttp@TNMHTTP@Wrapped$qqr17System@AnsiStringt1, @Nmhttp@initialization$qqrv, @Nmurl@Finalization$qqrv, @Nmurl@TNMURL@, @Nmurl@TNMURL@$bctr$qqrp18Classes@TComponent, @Nmurl@TNMURL@$bdtr$qqrv, @Nmurl@TNMURL@GetDecodeString$qqrv, @Nmurl@TNMURL@GetEncodeString$qqrv, @Nmurl@TNMURL@URLDecode$qqrx17System@AnsiString, @Nmurl@TNMURL@URLEncode$qqrx17System@AnsiString, @Nmurl@initialization$qqrv, @Nmuue@Finalization$qqrv, @Nmuue@MimeTable, @Nmuue@TNMUUProcessor@, @Nmuue@TNMUUProcessor@$bctr$qqrp18Classes@TComponent, @Nmuue@TNMUUProcessor@Base64Decode$qqrv, @Nmuue@TNMUUProcessor@Decode$qqrv, @Nmuue@TNMUUProcessor@Encode$qqrv, @Nmuue@TNMUUProcessor@ReadLnFromStream$qqrp15Classes@TStreamr17System@AnsiString, @Nmuue@TNMUUProcessor@SetEncodeTable$qqrv, @Nmuue@TNMUUProcessor@StdDecode$qqrv, @Nmuue@TNMUUProcessor@UuDEC$qqruc, @Nmuue@UUTABLE, @Nmuue@base64Table, @Nmuue@initialization$qqrv, @Psock@EAbortError@, @Psock@ESockError@, @Psock@Finalization$qqrv, @Psock@InstantiateServethread@, @Psock@InstantiateServethread@$bctr$qqrp18Classes@TComponentus, @Psock@InstantiateServethread@$bdtr$qqrv, @Psock@InstantiateServethread@Execute$qqrv, @Psock@NthPos$qqr17System@AnsiStringci, @Psock@NthWord$qqr17System@AnsiStringci, @Psock@PsockAllocateHWnd$qqrp14System@TObject, @Psock@StreamLn$qqrp15Classes@TStream17System@AnsiString, @Psock@TNMGeneralServer@, @Psock@TNMGeneralServer@$bctr$qqrp18Classes@TComponent, @Psock@TNMGeneralServer@$bdtr$qqrv, @Psock@TNMGeneralServer@Abort$qqrv, @Psock@TNMGeneralServer@Connect$qqrv, @Psock@TNMGeneralServer@Loaded$qqrv, @Psock@TNMGeneralServer@Serve$qqrv, @Psock@TNMGeneralServer@ServerAccept$qqrp14System@TObject, @Psock@TNMReg@, @Psock@TPowersock@, @Psock@TPowersock@$bctr$qqrp18Classes@TComponent, @Psock@TPowersock@$bdtr$qqrv, @Psock@TPowersock@Abort$qqrv, @Psock@TPowersock@Accept$qqrv, @Psock@TPowersock@AppendFile$qqr17System@AnsiString, @Psock@TPowersock@Cancel$qqrv, @Psock@TPowersock@CaptureFile$qqr17System@AnsiString, @Psock@TPowersock@CaptureStream$qqrp15Classes@TStreami, @Psock@TPowersock@CaptureString$qqrr17System@AnsiStringi, @Psock@TPowersock@CertifyConnect$qqrv, @Psock@TPowersock@ClearInput$qqrv, @Psock@TPowersock@Close$qqrui, @Psock@TPowersock@Connect$qqrv, @Psock@TPowersock@DataAvailable$qqrv, @Psock@TPowersock@Disconnect$qqrv, @Psock@TPowersock@ErrorManager$qqrus, @Psock@TPowersock@FilterHeader$qqrp19Classes@TFileStream, @Psock@TPowersock@GetLastErrorNo$qqrv, @Psock@TPowersock@GetLocalAddress$qqrv, @Psock@TPowersock@GetLocalIP$qqrv, @Psock@TPowersock@GetPortString$qqrv, @Psock@TPowersock@GetRemoteIP$qqrv, @Psock@TPowersock@InitWinsock$qqrv, @Psock@TPowersock@Listen$qqro, @Psock@TPowersock@Read$qqrus, @Psock@TPowersock@ReadLn$qqrv, @Psock@TPowersock@RequestCloseSocket$qqrv, @Psock@TPowersock@ResolveRemoteHost$qqrv, @Psock@TPowersock@SendBuffer$qqrpcus, @Psock@TPowersock@SendFile$qqr17System@AnsiString, @Psock@TPowersock@SendStream$qqrp15Classes@TStream, @Psock@TPowersock@SetLastErrorNo$qqri, @Psock@TPowersock@SetWSAError$qqrus17System@AnsiString, @Psock@TPowersock@SocketErrorStr$qqrus, @Psock@TPowersock@StatusMessage$qqruc17System@AnsiString, @Psock@TPowersock@TimerFired$qqrp14System@TObject, @Psock@TPowersock@TimerOff$qqrv, @Psock@TPowersock@TimerOn$qqrv, @Psock@TPowersock@Transaction$qqrx17System@AnsiString, @Psock@TPowersock@Wndproc$qqrr17Messages@TMessage, @Psock@TPowersock@Write$qqr17System@AnsiString, @Psock@TPowersock@Writeln$qqr17System@AnsiString, @Psock@TThreadTimer@, @Psock@TThreadTimer@$bctr$qqrp18Classes@TComponent, @Psock@TThreadTimer@$bdtr$qqrv, @Psock@TThreadTimer@SetEnabled$qqro, @Psock@TThreadTimer@SetInterval$qqrui, @Psock@TThreadTimer@SetOnTimer$qqrynpqqrp14System@TObject$v, @Psock@TThreadTimer@Timer$qqrv, @Psock@TThreadTimer@UpdateTimer$qqrv, @Psock@TThreadTimer@Wndproc$qqrr17Messages@TMessage, @Psock@TmrAllocateHWnd$qqrp14System@TObject, @Psock@WinsockMessage, @Psock@initialization$qqrv, __GetExceptDLLinfo, ___CPPdebugHook, _frmMain
 
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=de95fd7c767d919b4acd4ee3fa80884e' target='_blank'>http://www.threatexpert.com/report.aspx?md5=de95fd7c767d919b4acd4ee3fa80884e</a>
         
c:\windows\kiqpb8002.exe:
Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.0.0.93 2009.02.19 - 
AhnLab-V3 2009.2.19.0 2009.02.19 - 
AntiVir 7.9.0.83 2009.02.19 - 
Authentium 5.1.0.4 2009.02.19 - 
Avast 4.8.1335.0 2009.02.18 Win32:FakeAlert-AT 
AVG 8.0.0.237 2009.02.19 Generic_r.AZ 
BitDefender 7.2 2009.02.19 - 
CAT-QuickHeal 10.00 2009.02.19 - 
ClamAV 0.94.1 2009.02.19 Trojan.Dropper-18514 
Comodo 983 2009.02.19 - 
DrWeb 4.44.0.09170 2009.02.19 - 
eSafe 7.0.17.0 2009.02.18 - 
eTrust-Vet 31.6.6365 2009.02.19 - 
F-Prot 4.4.4.56 2009.02.19 - 
F-Secure 8.0.14470.0 2009.02.19 - 
Fortinet 3.117.0.0 2009.02.19 - 
GData 19 2009.02.19 Win32:FakeAlert-AT  
Ikarus T3.1.1.45.0 2009.02.19 - 
K7AntiVirus 7.10.630 2009.02.18 - 
Kaspersky 7.0.0.125 2009.02.19 - 
McAfee 5529 2009.02.17 - 
McAfee+Artemis 5529 2009.02.17 - 
Microsoft 1.4306 2009.02.19 - 
NOD32 3867 2009.02.19 - 
Norman 6.00.06 2009.02.19 - 
nProtect 2009.1.8.0 2009.02.19 - 
Panda 10.0.0.10 2009.02.19 - 
PCTools 4.4.2.0 2009.02.19 - 
Prevx1 V2 2009.02.19 - 
Rising 21.17.32.00 2009.02.19 - 
SecureWeb-Gateway 6.7.6 2009.02.19 - 
Sophos 4.38.0 2009.02.19 - 
Sunbelt 3.2.1855.2 2009.02.17 - 
Symantec 10 2009.02.19 - 
TheHacker 6.3.2.2.259 2009.02.18 Trojan/BHO.kqt 
TrendMicro 8.700.0.1004 2009.02.19 - 
VBA32 3.12.10.0 2009.02.18 - 
ViRobot 2009.2.19.1615 2009.02.19 - 
VirusBuster 4.5.11.0 2009.02.18 - 
weitere Informationen 
File size: 198317 bytes 
MD5...: 7c20feed6e51ff6c440ef25117f7eb16 
SHA1..: 1544b6d5a16adbf5f4893690dc0ce9d4faf04db8 
SHA256: 13d1af1088f73d5d17537036000bf67debba1001c876ec1860b6546611c233c3 
SHA512: c777ca9ad61d02d5d4670011abd41c6f00a391f01da2486d169c88cd0df349a4
9db86f2d02c27c6e6536d1d9d78a320c37bc053e361bf5703548e71ed608c160 
ssdeep: 3072:HNyah0mJBIegeSCVyjLRaVQe3xiqs7XkbKdLi8z0790HFn0jQcfo7ceJ4Lh
nwUo:Hw1egeSEyRqBiL7XSEizDjWxuLa
 
PEiD..: - 
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403225
timedatestamp.....: 0x48efcdc9 (Fri Oct 10 21:48:57 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5976 0x5a00 6.47 335c19bb25cd1d02eec2b0a4eacb979c
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.69 59710519e577598f785044e4d95261f4
.ndata 0x24000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x31000 0x908 0xa00 3.96 ef48c617fe129a27f0ff6c0a2f0de521

( 8 imports ) 
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
         

Geändert von Ivan1914 (19.02.2009 um 15:02 Uhr)

Alt 19.02.2009, 15:07   #7
Ivan1914
 
Bin ich sie endlich los? - Standard

Bin ich sie endlich los?



ps:
der http://downloads.ewido.net/ewido_micro.exe Ewido Link tut nicht

Alt 19.02.2009, 15:25   #8
Chris4You
 
Bin ich sie endlich los? - Standard

Bin ich sie endlich los?



Hi,

Danke die sind wohl in AVG aufgegangen...

Nehmen wir mal Dr. Web/Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html

File c:\windows\kiqpb8002.exe bitte löschen

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Bin ich sie endlich los?
adobe, antivir, antivirus, computer, controlset002, diverse, dll, explorer, helper, hijack, hijackthis, internet, internet explorer, logfile, microsoft, pdf, programme, registry, rundll, server, software, solution, suchlauf, system, trojaner, windows, windows xp, zwcreatekey, zwopenkey



Ähnliche Themen: Bin ich sie endlich los?


  1. nationzoom ist endlich weg!
    Lob, Kritik und Wünsche - 03.01.2014 (0)
  2. Ist Malware Doctor endlich weg???
    Log-Analyse und Auswertung - 25.05.2010 (1)
  3. MS Antivrus 2008 endlich weg?
    Plagegeister aller Art und deren Bekämpfung - 11.09.2008 (3)
  4. Bin ich den Trojaner endlich los???
    Mülltonne - 30.01.2008 (1)
  5. Ich bin endlich Reich!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2007 (0)
  6. Endlich sauber?
    Log-Analyse und Auswertung - 03.12.2007 (3)
  7. Bin ich endlich Virenfrei ??? LOG FILE ?
    Log-Analyse und Auswertung - 16.10.2007 (16)
  8. na Endlich
    Mülltonne - 12.06.2005 (0)
  9. Endlich DSL - und ein Megaproblem :(
    Netzwerk und Hardware - 09.09.2004 (18)
  10. CWS-Endlich weg!
    Plagegeister aller Art und deren Bekämpfung - 14.07.2004 (2)
  11. KDE 3.1 ist endlich fertig
    Alles rund um Mac OSX & Linux - 28.01.2003 (3)

Zum Thema Bin ich sie endlich los? - Hallo an alle hilfsbereiten, nachdem mich mein computer nun die letzten wochen zur totalen weissglut gebracht hat mit diversen trojanern, die sich gegenseitig die klinke in die hand gegeben haben, - Bin ich sie endlich los?...
Archiv
Du betrachtest: Bin ich sie endlich los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.