| |
| |||||||
Log-Analyse und Auswertung: Infiziert?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
17.07.2009, 21:29
| #1 |
  |  Infiziert? Schau dir das VT-Ergebnis an: Code:
ATTFilter Datei ESQULcrlbgpsvaxtvndqqnxxoquvgvupx empfangen 2009.07.15 23:03:05 (UTC)
Status: Beendet
Ergebnis: 3/41 (7.32%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.15 -
AhnLab-V3 5.0.0.2 2009.07.15 -
AntiVir 7.9.0.215 2009.07.15 -
Antiy-AVL 2.0.3.7 2009.07.15 -
Authentium 5.1.2.4 2009.07.16 -
Avast 4.8.1335.0 2009.07.15 -
AVG 8.5.0.387 2009.07.15 -
BitDefender 7.2 2009.07.16 -
CAT-QuickHeal 10.00 2009.07.15 -
ClamAV 0.94.1 2009.07.15 -
Comodo 1663 2009.07.16 -
DrWeb 5.0.0.12182 2009.07.15 -
eSafe 7.0.17.0 2009.07.15 -
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.16 -
F-Secure 8.0.14470.0 2009.07.15 -
Fortinet 3.120.0.0 2009.07.15 -
GData 19 2009.07.15 -
Ikarus T3.1.1.64.0 2009.07.15 -
Jiangmin 11.0.706 2009.07.15 -
K7AntiVirus 7.10.793 2009.07.15 -
Kaspersky 7.0.0.125 2009.07.16 -
McAfee 5677 2009.07.15 -
McAfee+Artemis 5677 2009.07.15 -
McAfee-GW-Edition 6.8.5 2009.07.15 -
Microsoft 1.4803 2009.07.16 VirTool:Win32/Obfuscator.ER
NOD32 4247 2009.07.15 -
Norman 6.01.09 2009.07.15 -
nProtect 2009.1.8.0 2009.07.15 -
Panda 10.0.0.14 2009.07.15 -
PCTools 4.4.2.0 2009.07.15 -
Prevx 3.0 2009.07.16 High Risk Cloaked Malware
Rising 21.38.24.00 2009.07.15 -
Sophos 4.43.0 2009.07.15 -
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.16 Suspicious.Vundo.2
TheHacker 6.3.4.3.368 2009.07.15 -
TrendMicro 8.950.0.1094 2009.07.15 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.15.1837 2009.07.15 -
VirusBuster 4.6.5.0 2009.07.15 -
weitere Informationen
File size: 23552 bytes
MD5...: db4997444d76434e325050c090b2efd0
SHA1..: 18bbb4ce71310704533018075cc0c96423717878
SHA256: 51bdd7a2cc1ba343884e4bc6b6c8015719c162d72f405e65a95b3748b00b0d9c
ssdeep: 384:U8Y+Y+GmLiTwYRd5miLiIMhv2zP7n6OTu8JuGrj1:U8wmLiTwYr5m7IMhuz5
Tuur
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1ba0
timedatestamp.....: 0x4588ab51 (Wed Dec 20 03:17:37 2006)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x246c 0x2000 5.67 ef3748688ff1ad621c4440174d387826
.data 0x4000 0x1863 0x800 2.53 a700095863e2c6898515aa6560eca25c
.rdata 0x6000 0x383c 0x1400 5.42 8855869c1ce8c2329da8cab68783b134
.edata 0xa000 0x28ad 0xc00 3.05 bb966077cbc634aa3da2a3bd54723d6e
.rsrc 0xd000 0x862 0x800 0.00 c99a74c555371a433d121f551d6c6398
.reloc 0xe000 0x82f 0x800 3.95 07f5f5e06c84805c990e53240827ad5f
( 6 imports )
> KERNEL32.DLL: VirtualFree, GetCurrentProcess, GetModuleHandleW, VirtualAlloc, ExitProcess, GlobalAlloc, FindFirstFileA, GetFileType, ResumeThread, GetProcessHeap
> msvcrt.dll: __p__fmode, realloc, __p__commode, __set_app_type
> GDI32.DLL: AngleArc, GdiGetDC, GetCurrentObject, ExcludeClipRect
> OLE32.DLL: CoGetInterfaceAndReleaseStream, OleLoadFromStream
> ADVAPI32.DLL: QueryServiceStatus, OpenSCManagerW, RegFlushKey, EqualSid, GetUserNameA, OpenServiceW, RegCreateKeyW, StartServiceCtrlDispatcherA
> version.dll: VerQueryValueA, GetFileVersionInfoW, GetFileVersionInfoSizeA, GetFileVersionInfoA
( 2 exports )
DzrcJqTHbbgrgf, ZriWYSvxIgg
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=12A3CABE0000AA245C6F00259D6ABA00ABB30703' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=12A3CABE0000AA245C6F00259D6ABA00ABB30703</a>
 1.) Deinstalliere SuperAntiSpyware 2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
17.07.2009, 22:01
| #2 |
 | Infiziert? 7% ?
__________________Wo fang ich mir nur immer so Dinger ein (vor zwei Wochen H1N1... jetzt sowas... ich fang so langsam schon an zu glauben, dass ich meinen PC angesteckt hab...  )Da ich morgen (an einem Samstag...) aber zeitig raus muss, werd ich mich nun schlafen legen, das Scan-Ergebnis liefer ich morgen früh nach, falls ich aus irgendeinem Grund Schlafstörungen habe, eventuell schon früher...  |
|
17.07.2009, 22:07
| #3 |
| | Infiziert? ciao, andreas
__________________ |
|
18.07.2009, 11:35
| #4 |
| | Infiziert? Panda: Code:
ATTFilter ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-07-18 12:33:33
PROTECTIONS: 1
MALWARE: 13
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AntiVir Desktop 9.0.1.30 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00041402 Exploit/MS04-022.gen HackTools No 0 Yes No C:\WINDOWS\Installer\29566.msp[unk_0007]
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\kwam\Cookies\kwam@doubleclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@doubleclick[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\kwam\Cookies\kwam@tradedoubler[1].txt
00149116 Cookie/Ccbill TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\kwam\Cookies\kwam@ccbill[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@adtech[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\kwam\Cookies\kwam@adtech[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\kwam\Cookies\kwam@atwola[1].txt
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{B7ABC265-EE74-42B4-8042-29A10BC5CEA1}\RP274\A0089106.sys
01675833 Trj/SMSlock.C Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\kwam\Desktop\Qoobox.rar[Qoobox\Quarantine\C\cleanup.exe.vir]
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\kwam\Desktop\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\ESQULjwoaypplxqliosrhdgapirxxdnowqyin.dll.vir]
03432103 Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No C:\Dokumente und Einstellungen\kwam\Desktop\dud\ICQ Status Checker.exe
03738701 Generic Malware Virus/Trojan No 0 Yes No C:\Programme\QIP\uninstall.exe
03912402 Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No C:\Dokumente und Einstellungen\kwam\Desktop\dud\ICQ Ignore Checker.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location `
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description `
;===================================================================================================================================================================================
;===================================================================================================================================================================================
|
|
18.07.2009, 11:40
| #5 |
| | Infiziert? PrevXCSI ging ja schnell. Hat auf jeden Fall nichts entdeckt. |
|
18.07.2009, 11:47
| #6 | ||
| | Infiziert? 1.) Lösche Qoobox.rar von deinem Desktop, die Dateien wurden schon an die AVP-Hersteller verschickt. 2.) Folgende Dateien würde ich dir auch dringend zum Löschen empfehlen: Zitat:
Zitat:
4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. ciao, andreas
__________________ --> Infiziert? |
|
18.07.2009, 16:28
| #7 |
| | Infiziert? Die Dateiüberprüfung läuft nun bereits über 3h. Kann das sein, oder lief da irgendetwas schief? |
|
18.07.2009, 16:32
| #8 | |
| | Infiziert?Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
| Themen zu Infiziert? |
| anwendung, b.exe, beendet, datei, deaktiviert, download, exe-datei, fehlermeldung, guten, heute, hijack, hijackthis, hijackthis log-file, infiziert, infiziert?, installation, log-file, malware, nicht öffnen, problem, problemlos, programm, systemstart, taskmanager, überhaupt, öffnen, öffnet, öffnet sich ständig |
Hybrid-Darstellung
