Win32Trojan.Tdss - lässt sich nicht entfernen

Kuss80 · 30.07.2009, 20:16

Abend,

endlich hat es geklappt und ComboFix ist nicht eingefroren.

Hier die Infos aus der Logfile:

ComboFix 09-07-29.04 - *** 30.07.2009 21:00.3.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.657 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-07-30 ))))))))))))))))))))))))))))))
.

2009-07-30 18:55 . 2009-07-30 18:55 -------- d-s---w- C:\cofi
2009-07-29 18:59 . 2009-07-29 19:00 -------- d-----w- C:\rsit
2009-07-29 17:03 . 2009-07-29 17:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ImgBurn
2009-07-29 16:32 . 2009-07-29 16:32 -------- d-----w- c:\programme\ImgBurn
2009-07-28 15:40 . 2009-07-28 15:40 -------- d-----w- c:\programme\CCleaner
2009-07-27 20:39 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-27 20:27 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-07-27 20:20 . 2009-07-27 20:20 200480 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-27 20:18 . 2009-07-27 20:18 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-27 20:18 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-07-27 20:17 . 2009-07-27 20:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-27 20:17 . 2009-07-27 20:17 -------- d-----w- c:\programme\Lavasoft
2009-07-27 20:16 . 2001-12-31 22:01 -------- d-----w- c:\windows\SxsCaPendDel
2009-07-26 22:02 . 2009-07-26 22:02 -------- d-----w- c:\programme\Astonsoft
2009-07-26 18:56 . 2009-03-02 13:02 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-07-26 18:47 . 2009-07-26 18:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-26 17:47 . 2009-07-26 17:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero
2009-07-24 13:23 . 2009-07-24 13:23 54784 ----a-w- c:\windows\system32\drivers\UACucyawspvus.sys
2009-07-22 17:03 . 2009-07-30 18:54 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Eraser
2009-07-22 17:02 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll
2009-07-22 17:02 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll
2009-07-22 17:02 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe
2009-07-22 17:02 . 2009-07-22 17:02 -------- d-----w- c:\programme\Eraser
2009-07-14 19:49 . 2009-07-14 19:53 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SolidDocuments
2009-07-14 19:48 . 2009-07-14 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SolidDocuments
2009-07-14 19:43 . 2009-07-14 19:59 -------- d-----w- c:\programme\PDF Password Remover v3.0
2009-07-14 19:37 . 2009-07-14 19:41 -------- d-----w- c:\programme\PDF Passwort Knacker 1
2009-07-14 19:37 . 2009-07-14 19:37 80896 ----a-w- c:\windows\cadkasdeinst01.exe
2009-07-14 19:12 . 2009-07-14 20:30 -------- d-----w- c:\programme\ElcomSoft
2009-07-14 12:43 . 2009-07-22 22:19 -------- d-----w- c:\dokumente und einstellungen\***\Bücher
2009-07-08 14:05 . 2009-07-08 14:05 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-30 18:53 . 2009-02-19 21:04 1089568 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-30 18:53 . 2009-02-19 21:04 7948 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-07-30 18:50 . 2001-12-31 23:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-30 16:27 . 2009-02-19 21:04 5644832 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-30 16:27 . 2009-02-19 21:04 48324 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-30 15:56 . 2007-07-05 19:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-29 14:26 . 2001-08-18 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat
2009-07-29 14:26 . 2001-08-18 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat
2009-07-28 20:33 . 2007-07-05 19:05 81216 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-27 15:00 . 2009-01-03 19:52 -------- d-----w- c:\programme\PokerStars
2009-07-27 15:00 . 2008-10-18 20:53 -------- d-----w- c:\programme\Enigma Software Group
2009-07-26 12:09 . 2007-07-10 15:33 -------- d-----w- c:\programme\mIRC
2009-07-22 12:28 . 2009-02-19 21:16 208616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-26 16:49 . 2001-08-18 12:00 672256 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2001-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2001-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-09 18:31 . 2009-06-09 18:31 -------- d-----w- c:\programme\HD Tune Pro
2009-06-08 19:29 . 2009-06-08 19:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2009-06-06 12:09 . 2009-06-06 12:09 -------- d-----w- c:\programme\DVDlabPro2
2009-06-03 19:09 . 2001-08-18 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-21 17:55 . 2009-02-19 21:05 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-21 17:55 . 2009-02-19 21:05 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-09 07:49 . 2008-09-29 17:27 353576 ----a-w- c:\windows\system32\msvcr71.dll
2009-05-09 07:48 . 2009-05-09 07:49 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2009-05-09 07:48 . 2008-09-29 17:27 505128 ----a-w- c:\windows\system32\msvcp71.dll
2009-05-08 15:41 . 2009-05-08 15:41 1915520 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-05-07 15:32 . 2001-08-18 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 19:56 . 2009-05-05 19:56 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbx.DAT
2001-12-31 22:03 . 2009-07-08 14:05 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2008-10-01 03:53 . 2008-10-01 03:53 23 --sha-w- c:\windows\system32\becbbfe3_z.dll
2008-11-22 10:50 . 2007-11-25 15:05 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="c:\programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe" [2006-07-30 121089]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-05-16 430080]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-22 208616]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RemoteControl9"="c:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"PDVD9LanguageShortcut"="c:\programme\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Allzeit Atomzeit.lnk - c:\programme\Allzeit Atomzeit\Atomzeit.exe [2007-4-16 77824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="prestigeUI.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.07.2009 22:27 64160]
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [05.07.2007 19:26 97408]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16.05.2008 17:12 102400]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [04.10.2008 08:56 11520]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\System32\PLCMPR5.SYS --> c:\windows\System32\PLCMPR5.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2009-07-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-TDSSpqlt.sys

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\an0bhm57.default\
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.h**p.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-07-30 21:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1860)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-07-30 21:09
ComboFix-quarantined-files.txt 2009-07-30 19:09

Vor Suchlauf: 5.512.224.768 Bytes frei
Nach Suchlauf: 5.490.393.088 Bytes frei

218 --- E O F --- 2009-07-30 02:54

Bin schon voller Spannung wie es weiter geht.

Gruß Kuss80

john.doe · 30.07.2009, 20:52

1.) Lade die Datei

Code:

ATTFilter

c:\windows\system32\drivers\UACucyawspvus.sys

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Die wird an 39 AVP/AMP-Hersteller geschickt, damit sie in Zukunft erkannt wird.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Edit: Kaspersky sieht nicht gut aus. Die hängen bei den TDSS-Varianten immer zurück.

Code:

ATTFilter

Datei UACucyawspvus.sys empfangen 2009.07.30 20:13:07 (UTC)
Status:    Beendet 
Ergebnis: 13/41 (31.71%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.07.30	Trojan.WinNT.Alureon!IK
AhnLab-V3	5.0.0.2	2009.07.30	-
AntiVir	7.9.0.236	2009.07.30	TR/Agent.54784.7
Antiy-AVL	2.0.3.7	2009.07.30	-
Authentium	5.1.2.4	2009.07.30	-
Avast	4.8.1335.0	2009.07.30	Win32:Alureon-CJ
AVG	8.5.0.387	2009.07.30	Crypt.FWO
BitDefender	7.2	2009.07.30	-
CAT-QuickHeal	10.00	2009.07.30	-
ClamAV	0.94.1	2009.07.30	-
Comodo	1813	2009.07.30	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.07.30	-
eSafe	7.0.17.0	2009.07.30	-
eTrust-Vet	31.6.6648	2009.07.30	-
F-Prot	4.4.4.56	2009.07.30	-
F-Secure	8.0.14470.0	2009.07.30	-
Fortinet	3.120.0.0	2009.07.30	-
GData	19	2009.07.30	Win32:Alureon-CJ 
Ikarus	T3.1.1.64.0	2009.07.30	Trojan.WinNT.Alureon
Jiangmin	11.0.800	2009.07.30	-
K7AntiVirus	7.10.806	2009.07.30	-
Kaspersky	7.0.0.125	2009.07.30	-
McAfee	5692	2009.07.29	-
McAfee+Artemis	5692	2009.07.29	Artemis!97E7F36DC066
McAfee-GW-Edition	6.8.5	2009.07.30	Heuristic.LooksLike.Trojan.TDss.A
Microsoft	1.4903	2009.07.30	Trojan:WinNT/Alureon.D
NOD32	4292	2009.07.30	a variant of Win32/Olmarik.JR
Norman	6.01.09	2009.07.30	-
nProtect	2009.1.8.0	2009.07.30	-
Panda	10.0.0.14	2009.07.30	-
PCTools	4.4.2.0	2009.07.29	-
Prevx	3.0	2009.07.30	Medium Risk Malware
Rising	21.40.34.00	2009.07.30	-
Sophos	4.44.0	2009.07.30	-
Sunbelt	3.2.1858.2	2009.07.30	Bulk Trojan
Symantec	1.4.4.12	2009.07.30	-
TheHacker	6.3.4.3.374	2009.07.30	-
TrendMicro	8.950.0.1094	2009.07.30	-
VBA32	3.12.10.9	2009.07.30	-
ViRobot	2009.7.30.1861	2009.07.30	-
VirusBuster	4.6.5.0	2009.07.30	-
weitere Informationen
File size: 54784 bytes
MD5...: 97e7f36dc0663dc6be09c7bcf5aff384
SHA1..: 80ca1b4ce2d46d87889769b0b67eff16ed61e18f
SHA256: 6107bbde0e4b760e504d7acc111ea528bba99f18b3bee0614e1f09aa49060ce3
ssdeep: 1536:x2mDFXWsvHPwguxdy+5iqIuez/ZK4xRZx:4mDFFHUdy+50z/ZTl
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.5%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x263f
timedatestamp.....: 0x4a5cbcd9 (Tue Jul 14 17:14:01 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3280 0x3400 6.43 2c0b1721a437cb7e6fa2008c1affb4be
.rdata 0x5000 0x15ac 0x1600 4.52 e8f00c769e3aa18fc8b592149b63103f
.data 0x7000 0x4404 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.ytr 0xc000 0x7000 0x6800 7.99 bc8212c51637b5450510782de2676319
.zasoc 0x13000 0x2000 0x2000 7.56 70ba3e003d18c5792f4700bf060c212c

( 3 imports ) 
> USBPORT.SYS: USBPORT_RegisterUSBPortDriver, USBPORT_GetHciMn
> HAL.DLL: KfLowerIrql, HalProcessorIdle, KeRaiseIrql
> NTOSKRNL.EXE: ZwCreateFile, ZwTerminateProcess, isspace

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=38CA04F800143FB7D64A006D4A669F0012066101' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=38CA04F800143FB7D64A006D4A669F0012066101</a>

Kuss80 · 31.07.2009, 14:45

Hallo Andreas und Co.,

hier nun die Infos des Panda Active Scan:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-07-31 15:17:49
PROTECTIONS: 1
MALWARE: 29
SUSPECTS: 5
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00039703 Application/Pskill.A HackTools No 0 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[pskill.exe]
00055522 Eicar.Mod Virus No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[eicar.html]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@247realmedia[1].txt
00145466 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adverserve[1].txt
00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@com[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt
00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@azjmp[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@ad.yieldmanager[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adtech[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00252092 Exploit/WinampPLS HackTools No 0 Yes No D:\Filesharing\mIRC\Incoming_files\downloads\Jay-Z-The.Black.Remixes.tar
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt
00475627 Bck/Bifrose.BHN Virus/Trojan No 1 Yes No C:\WindowBlinds\V 6.01 german\Patcher.exe
00571380 Trj/PWSteal.EE Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
00590315 Rootkit/Agent.LNB HackTools No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\drivers\cevunfd.sys.vir]
00889180 Generic Backdoor Virus/Trojan No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[klif.sys]
01650218 Generic Malware Virus/Trojan No 0 Yes No E:\von_Sonstiges\Software\Accessdiver\ad4103.exe
01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Delete Temp Files.exe]
01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Remove FlyakiteOSX Folder.exe]
02918065 Generic Worm Virus/Worm No 0 Yes No E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_X2_v12.0\CR-PSP12.exe
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UAChymvbkrbox.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACnufsevjhkl.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\UACucyawspvus.sys
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACytlgvruvoy.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe
03738741 Generic Malware Virus/Trojan No 0 No No D:\Software\Windows\DownloadManager\Cryptload\CryptLoad_1.1.5.rar[ocr\netload.in\asmCaptcha\test.exe]
03738741 Generic Malware Virus/Trojan No 0 Yes No C:\Downloads\cryptload\ocr\netload.in\asmCaptcha\test.exe
03899034 Generic Malware Virus/Trojan No 0 Yes No E:\System Volume Information\_restore{F2336E24-BC15-4D06-9B4F-8974CC7ADDC9}\RP205\A0036319.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 6
;===================================================================================================================================================== ============================== 6
No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\install.exe.vir] 6
No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACtqfuiqppjd.dll.vir] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\usercashcom.dll] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xeem.dll] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xvidznet.dll] 6
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 6
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

So, und nun mach ich mal an PrevXCSI ran.

Grüße Kuss80

Win32Trojan.Tdss - lässt sich nicht entfernen

Plagegeister aller Art und deren Bekämpfung: Win32Trojan.Tdss - lässt sich nicht entfernen