Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: lsp.dll gelöscht, aber Trojaner noch da...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.09.2009, 22:32   #1
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hallo,
die lsp.dll habe ich mit lspfix gelöscht, doch immer noch werde ich im Internet umgeleitet und Programme lassen sich nicht installieren.
Kann jemand bitte helfen, was ich noch tun kann ?
Danke !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:53, on 01.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.trendmicro.com/go/hjt/win9x//?hjtver=2.0.2&winver=Windows%20NT%205.01.2600&iever=7.0.5730.11
O1 - Hosts: ::1 localhost
O1 - Hosts: 91.212.127.221 virusermoverpro.microsoft.com
O1 - Hosts: 91.212.127.221 virusermoverpro.com
O1 - Hosts: 91.212.127.221 www.virusermoverpro.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BHO - {12BC3DAB-D768-4f05-88A5-FCC9099F5A0F} - C:\WINDOWS\system32\iehelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\q**ask.exe" -atboo**ime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HCWemmon] HCWemmon.exe
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [system tool] C:\Programme\kqkebf\xifosysguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra bu**on: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra bu**on: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra bu**on: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra bu**on: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra bu**on: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by121fd.bay121.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\IBM\Lotus Notes\ntmulti.exe

--
End of file - 6514 bytes

Alt 02.09.2009, 07:18   #2
Chris4You
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Programme\kqkebf\xifosysguard.exe
C:\WINDOWS\system32\iehelper.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also, nur wenn beide erkannt, sonst das nicht erkannte unten bei Files to delete rauslöschen!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|system tool
 
Files to delete:
C:\Programme\kqkebf\xifosysguard.exe
C:\WINDOWS\system32\iehelper.dll
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O1 - Hosts: 91.212.127.221 virusermoverpro.microsoft.com
O1 - Hosts: 91.212.127.221 virusermoverpro.com
O1 - Hosts: 91.212.127.221 www.virusermoverpro.com
         
MAM & RSIT:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Chris
__________________

__________________

Alt 02.09.2009, 09:38   #3
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Vielen Dank für die tolle Hilfe, in beiden genannten Dateien steckte ein Trojaner:

VIRUSTOTAL logs:


iehelper.dll:
_________________________________________________________

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.02 Trojan.Win32.FakeSpypro!IK
AhnLab-V3 5.0.0.2 2009.09.02 Win-Trojan/Bho.12032
AntiVir 7.9.1.7 2009.09.01 TR/BHO.whc.7
Antiy-AVL 2.0.3.7 2009.09.01 Trojan/Win32.BHO.gen
Authentium 5.1.2.4 2009.09.02 W32/FakeAlert.IO
Avast 4.8.1335.0 2009.09.01 Win32:Rootkit-gen
AVG 8.5.0.406 2009.09.02 BHO.JEW
BitDefender 7.2 2009.09.02 -
CAT-QuickHeal 10.00 2009.09.02 -
ClamAV 0.94.1 2009.09.02 -
Comodo 2178 2009.09.02 -
DrWeb 5.0.0.12182 2009.09.02 Trojan.Fakealert.4625
eSafe 7.0.17.0 2009.09.01 -
eTrust-Vet 31.6.6715 2009.09.01 Win32/FakeAlert.APY
F-Prot 4.5.1.85 2009.09.01 W32/FakeAlert.IO
F-Secure 8.0.14470.0 2009.09.02 Trojan.Win32.BHO.whc
Fortinet 3.120.0.0 2009.09.02 W32/BHO.WHC!tr
GData 19 2009.09.02 Win32:Rootkit-gen
Ikarus T3.1.1.68.0 2009.09.02 Trojan.Win32.FakeSpypro
Jiangmin 11.0.800 2009.09.02 Trojan/BHO.hld
K7AntiVirus 7.10.833 2009.09.01 -
Kaspersky 7.0.0.125 2009.09.02 Trojan.Win32.BHO.whc
McAfee 5727 2009.09.01 FakeAlert-FV.dll
McAfee+Artemis 5727 2009.09.01 FakeAlert-FV.dll
McAfee-GW-Edition 6.8.5 2009.09.02 Trojan.BHO.whc.7
Microsoft 1.5005 2009.09.02 Trojan:Win32/FakeSpypro
NOD32 4387 2009.09.01 Win32/Adware.SpywareProtect2009
Norman 2009.09.01 W32/BHO.PNP
nProtect 2009.1.8.0 2009.09.01 Trojan/W32.BHO.12032.B
Panda 10.0.2.2 2009.09.01 Adware/AntivirusSystemPro
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.02 Medium Risk Malware
Rising 21.45.14.00 2009.09.01 Trojan.Win32.FakeAV.aaf
Sophos 4.45.0 2009.09.02 Troj/FakeSp-Gen
Sunbelt 3.2.1858.2 2009.09.01 -
Symantec 1.4.4.12 2009.09.02 -
TheHacker 6.3.4.3.395 2009.09.02 Trojan/BHO.whc
TrendMicro 8.950.0.1094 2009.09.02 TROJ_FAKESPYP.C
VBA32 3.12.10.10 2009.09.01 Trojan.Win32.BHO.whc
ViRobot 2009.9.2.1913 2009.09.02 -
VirusBuster 4.6.5.0 2009.09.01 -
weitere Informationen
File size: 12032 bytes
MD5...: fd7f09e24090efd181a7beff0d731a93
SHA1..: 68045b2b769fbfb661885b734898e59bd84c3a9d
SHA256: dc4198044f844602d16fc356f545723ece247a0d786dbf6bb9b79683007fdfdd
ssdeep: 192:M2dgkQYm1+2WaRYBq8OToAPA8CKqNA1SoKRZ:M2fZaRYBB1APhC0jKRZ

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ddd
timedatestamp.....: 0x4a97cfad (Fri Aug 28 12:38:05 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13bf 0x1400 5.88 19c249750d49a4dc9d6834e83e79d0d1
.rdata 0x3000 0xcb0 0xe00 4.11 b12e3b82a56cb7edf3dc603f23a56521
.data 0x4000 0x147c 0x200 2.90 de71dbf34b7926c0b57b218f3fabb5a4
.rsrc 0x6000 0x1b4 0x200 5.11 dd5f1177ec7ea95e9636cfc36475caae
.reloc 0x7000 0x25c 0x400 4.08 63f15b90beb97b33e201d6e4552fe36e

( 4 imports )
> SHLWAPI.dll: SHDeleteKeyW, SHSetValueW, SHGetValueW
> MSVCRT.dll: free, __1type_info@@UAE@XZ, malloc, _adjust_fdiv, __2@YAPAXI@Z, wcscpy, __3@YAXPAX@Z, srand, rand, wcsstr, wcslen, memcmp, wcscat, memcpy, _initterm
> USER32.dll: wsprintfW
> KERNEL32.dll: IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, CloseHandle, MultiByteToWideChar, CreateFileW, GetModuleFileNameW, ReadFile, InterlockedDecrement, InterlockedIncrement, SetFilePointer, TerminateProcess, GetCurrentProcess, GetSystemTimeAsFileTime

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

RDS...: NSRL Reference Data Set
-
pdfid.: -
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=264517A000CA1F512FC1006D7C556800A7C91479' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=264517A000CA1F512FC1006D7C556800A7C91479</a>
packers (Antiy-AVL): CrypToCrackPeProtector0.93
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)


xifosysguard.exe:
_____________________________________________________________



Die Datei wurde bereits analysiert:
MD5: b5b7d981285810715093052e7bb4b280
First received: 2009.09.01 20:09:15 UTC
Datum 2009.09.01 23:19:39 UTC [<1D]
Ergebnisse 8/41
Permalink: analisis/b5a91c5e59d7db274804fa97a622d730effb96dfa118f7b2cae3f9f71e0eb5c2-1251847179



Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.01 -
AhnLab-V3 5.0.0.2 2009.09.01 -
AntiVir 7.9.1.7 2009.09.01 -
Antiy-AVL 2.0.3.7 2009.09.01 -
Authentium 5.1.2.4 2009.09.01 -
Avast 4.8.1335.0 2009.09.01 -
AVG 8.5.0.406 2009.09.02 -
BitDefender 7.2 2009.09.02 -
CAT-QuickHeal 10.00 2009.09.01 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.09.01 -
Comodo 2174 2009.09.02 -
DrWeb 5.0.0.12182 2009.09.01 Trojan.Fakealert.4943
eSafe 7.0.17.0 2009.09.01 -
eTrust-Vet 31.6.6715 2009.09.01 -
F-Prot 4.5.1.85 2009.09.01 -
F-Secure 8.0.14470.0 2009.09.01 Trojan:W32/Agent.LQQ
Fortinet 3.120.0.0 2009.09.01 PossibleThreat
GData 19 2009.09.02 -
Ikarus T3.1.1.68.0 2009.09.01 -
Jiangmin 11.0.800 2009.09.01 -
K7AntiVirus 7.10.833 2009.09.01 -
Kaspersky 7.0.0.125 2009.09.02 -
McAfee 5727 2009.09.01 -
McAfee+Artemis 5727 2009.09.01 Artemis!B5B7D9812858
McAfee-GW-Edition 6.8.5 2009.09.02 Heuristic.LooksLike.Win32.SuspiciousPE.C
Microsoft 1.5005 2009.09.02 -
NOD32 4387 2009.09.01 -
Norman 2009.09.01 -
nProtect 2009.1.8.0 2009.09.01 -
Panda 10.0.2.2 2009.09.01 Suspicious file
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.02 Medium Risk Malware
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.01 -
Sunbelt 3.2.1858.2 2009.09.01 -
Symantec 1.4.4.12 2009.09.02 -
TheHacker 6.3.4.3.394 2009.09.01 -
TrendMicro 8.950.0.1094 2009.09.01 -
VBA32 3.12.10.10 2009.09.01 -
ViRobot 2009.9.1.1911 2009.09.01 -
VirusBuster 4.6.5.0 2009.09.01 -
weitere Informationen
File size: 269056 bytes
MD5 : b5b7d981285810715093052e7bb4b280
SHA1 : f38ec1434e0b4121e74031319dc65fb8a8bde5b8
SHA256: b5a91c5e59d7db274804fa97a622d730effb96dfa118f7b2cae3f9f71e0eb5c2
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4D001
timedatestamp.....: 0x4A9B9868 (Mon Aug 31 11:31:20 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10000 0x4E00 7.95 a11dcf677d88aad928600a0e68f61293
.data 0x11000 0x4C4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x12000 0x3B000 0x3B000 8.00 d84fa996821e5c2da236af5f0387e726
.code 0x4D000 0x2000 0x1800 5.36 fa66ace0751ab63c546114b49f10536d
.adata 0x4F000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 2 imports )

> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> msvbvm60.dll: MethCallEngine

( 0 exports )

TrID : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 6144:gD/BZiGB+fYonG3/jXiDI8g6QlsaCbFM/U1XmiKhH:w/bBoj3I8sl5CbF12/hH
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=686FCC1700E7DA251B36048B1648B800E886E3CA
PEiD : -
packers (Kaspersky): ASPack
RDS : NSRL Reference Data Set
-

_____________________________________________


nach Ausführen des Scriptes in Avenger habe ich folgendes Log avenger.txt erhalten:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\iehelper.dll" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|system tool" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


_________________________

In HijackThis habe ich diese Einträge auch gefixt:

O1 - Hosts: 91.212.127.221 virusermoverpro.microsoft.com
O1 - Hosts: 91.212.127.221 virusermoverpro.com
O1 - Hosts: 91.212.127.221 w**.virusermoverpro.com


_____________________________


....und es läuft wieder. Großes DANKE für die schnelle und kompetente Antwort von Chris !!!!
__________________

Alt 02.09.2009, 09:55   #4
Chris4You
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi,

so wie es aussieht hast Du C:\Programme\kqkebf\xifosysguard.exe
aus dem Avengerscript rausgenommen, gibt es dazu einen Grund?

Dann solltest Du auf jeden Fall noch MAM laufen lassen und Dein System
bei Gelegenheit mal updaten (SP3 etc.)...

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.09.2009, 08:57   #5
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi Chris,

habe es beim ersten Lauf rausgenommen (davon ist wohl das Log File), da ich xifosyguard zunächst nicht bei Virustotal hochladen konnte. Das Avengerskript habe ich dann sukzessive über beide Files laufen lassen. Das File xifosyguard.exe sehe ich nun nicht mehr, ist das richtig ?
_______________________________

Das MAM logfile sagt folgendes:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2734
Windows 5.1.2600 Service Pack 2

03.09.2009 09:39:57
mbam-log-2009-09-03 (09-39-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96777
Laufzeit: 7 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{12bc3dab-d768-4f05-88a5-fcc9099f5a0f} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{12bc3dab-d768-4f05-88a5-fcc9099f5a0f} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AvScan (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tool (Fake.SystemTool) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

_________________________________

Jetzt installiere ich gerade SP3.

Danke,
Arne.


Alt 03.09.2009, 09:59   #6
Chris4You
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi,

okay...
Nach Abschluß der Installation bitte noch ein abschließender Scan mit Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

Was treibt der Rechner so?

chris
__________________
--> lsp.dll gelöscht, aber Trojaner noch da...

Alt 03.09.2009, 12:07   #7
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...





Was der Rechner so treibt ? Ich sichere zunächst alle Userdateien auf einem Linux NAS

Alt 03.09.2009, 13:33   #8
Chris4You
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi,

lass bitte beide Dateien bei Virustotal.com prüfen und poste das gesamte Ergebnis...

Wir müssen false/positiv ausschließen...
AVG_free... hört sich interessant an, weist Du noch wo Du das runtergeladen hast?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.09.2009, 14:05   #9
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hier habe ich AVG heruntergeladen, jedoch nachdem der Virus den Rechner befallen hat:
http://www.chip.de/downloads/c1_down...981108&v=3600&
Mit AVG hatte ich bislang als freies Programm auf anderen Rechnern gute Erfahrung gemacht.

Die load[1].exe habe ich inzwischen gelöscht (Prevx hat später noch eine weitere gefunden, "update.exe", selbe Uhrzeit), sie scheinen der Auslöser gewesen zu sein, denn Datum und Zeit waren genau vor dem Befall.

Anbei das Virustotal log vom File "avg_free_stf_eu_85_409a1634[1].exe" welches auch Prevx erkannte , ich somit wohl auch besser lösche. Es handelt sich glaube ich um ein von AVG bereits isoliertes Virusfile.

_______________________
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.03 -
AhnLab-V3 5.0.0.2 2009.09.03 -
AntiVir 7.9.1.7 2009.09.03 -
Antiy-AVL 2.0.3.7 2009.09.03 -
Authentium 5.1.2.4 2009.09.03 W32/Heuristic-CO2!Eldorado
Avast 4.8.1335.0 2009.09.02 -
AVG 8.5.0.409 2009.09.03 -
BitDefender 7.2 2009.09.03 -
CAT-QuickHeal 10.00 2009.09.02 -
ClamAV 0.94.1 2009.09.03 -
Comodo 2192 2009.09.03 -
DrWeb 5.0.0.12182 2009.09.03 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6718 2009.09.03 -
F-Prot 4.5.1.85 2009.09.03 W32/Damaged_File.B.gen!Eldorado
F-Secure 8.0.14470.0 2009.09.03 -
Fortinet 3.120.0.0 2009.09.03 -
GData 19 2009.09.03 -
Ikarus T3.1.1.68.0 2009.09.03 -
Jiangmin 11.0.800 2009.09.03 -
K7AntiVirus 7.10.834 2009.09.02 -
Kaspersky 7.0.0.125 2009.09.03 -
McAfee 5729 2009.09.03 potentially unwanted program Corrupt-07!ABEE1E0F8B4A
McAfee+Artemis 5729 2009.09.03 potentially unwanted program Corrupt-07!ABEE1E0F8B4A
McAfee-GW-Edition 6.8.5 2009.09.03 -
Microsoft 1.5005 2009.09.03 -
NOD32 4391 2009.09.03 -
Norman 6.01.09 2009.09.02 -
nProtect 2009.1.8.0 2009.09.03 -
Panda 10.0.2.2 2009.09.03 -
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.03 High Risk Worm
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.03 -
Sunbelt 3.2.1858.2 2009.09.02 -
Symantec 1.4.4.12 2009.09.03 -
TheHacker 6.3.4.3.396 2009.09.03 -
TrendMicro 8.950.0.1094 2009.09.03 -
VBA32 3.12.10.10 2009.09.03 -
ViRobot 2009.9.3.1916 2009.09.03 -
VirusBuster 4.6.5.0 2009.09.02 -
weitere Informationen
File size: 8192 bytes
MD5...: abee1e0f8b4a6c1611a1a1df5d8724b6
SHA1..: c475fd8332b1775189fe8f68bc44d185f7dc1303
SHA256: c5446ba1c416e4a32c0d9a688d6dc22eb51171e27e514ba732bb44413578a709
ssdeep: 192:f380V3TUXSjZMnt7v6DGDDA1ykb/iRED3bp:f380V3TUXXd61ykb/iOJ

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1232f
timedatestamp.....: 0x492d20d7 (Wed Nov 26 10:11:35 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17202 0x17400 6.20 1acacd2223733e23207fbe9020cdd386
.rdata 0x19000 0x4270 0x4400 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x1e000 0x4048 0x3400 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x23000 0xa5d8 0xa600 0.00 d41d8cd98f00b204e9800998ecf8427e

( 0 imports )

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=ABEE1E0F008B4A6C20160011A1A1DF005D8724B6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=ABEE1E0F008B4A6C20160011A1A1DF005D8724B6</a>
________________________

Alt 03.09.2009, 14:23   #10
Chris4You
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hmm,

machen wir mal weiter mit MAM, danach mit RSIT (beides bereits weiter oben beschrieben)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.09.2009, 14:55   #11
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



MAM
________________________

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2734
Windows 5.1.2600 Service Pack 3

03.09.2009 15:46:30
mbam-log-2009-09-03 (15-46-30).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 97179
Laufzeit: 9 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




RSIT log.txt
___________________
http://rapidshare.com/files/275126187/log.txt.html




RSIT info.txt
____________________
http://rapidshare.com/files/275126475/info.txt.html

Alt 03.09.2009, 15:43   #12
Chris4You
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi,

Bitte folgende Files prüfen (gibts beide als Malware oder original von MS):

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll 
C:\WINDOWS\system32\wmpns.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Dann würde ich mir gerne noch zwei Verzeichnisse näher ansehen...

Combofix
0. Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
Code:
ATTFilter
DIRLOOK::
C:\Programme\kqkebf
C:\WINDOWS\system32\wbem
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.


6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.09.2009, 08:58   #13
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi Chris,
anbei die Ergebnisse:

_________________________________________________
C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll


a-squared 4.5.0.24 2009.09.05 -
AhnLab-V3 5.0.0.2 2009.09.04 -
AntiVir 7.9.1.8 2009.09.04 -
Antiy-AVL 2.0.3.7 2009.09.04 -
Authentium 5.1.2.4 2009.09.05 -
Avast 4.8.1351.0 2009.09.04 -
AVG 8.5.0.409 2009.09.04 -
BitDefender 7.2 2009.09.05 -
CAT-QuickHeal 10.00 2009.09.05 -
ClamAV 0.94.1 2009.09.05 -
Comodo 2204 2009.09.05 -
DrWeb 5.0.0.12182 2009.09.05 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6721 2009.09.04 -
F-Prot 4.5.1.85 2009.09.04 -
F-Secure 8.0.14470.0 2009.09.04 -
Fortinet 3.120.0.0 2009.09.05 -
GData 19 2009.09.05 -
Ikarus T3.1.1.72.0 2009.09.05 -
Jiangmin 11.0.800 2009.09.05 -
K7AntiVirus 7.10.836 2009.09.04 -
Kaspersky 7.0.0.125 2009.09.05 -
McAfee 5731 2009.09.04 -
McAfee+Artemis 5731 2009.09.04 -
McAfee-GW-Edition 6.8.5 2009.09.05 -
Microsoft 1.5005 2009.09.05 -
NOD32 4397 2009.09.05 -
Norman 6.01.09 2009.09.04 -
nProtect 2009.1.8.0 2009.09.05 -
Panda 10.0.2.2 2009.09.04 -
PCTools 4.4.2.0 2009.09.04 -
Prevx 3.0 2009.09.05 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.05 -
Sunbelt 3.2.1858.2 2009.09.05 -
Symantec 1.4.4.12 2009.09.05 -
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.05 -
VBA32 3.12.10.10 2009.09.04 -
ViRobot 2009.9.4.1919 2009.09.04 -
VirusBuster 4.6.5.0 2009.09.04 -
weitere Informationen
File size: 155648 bytes
MD5...: 0da1349495955cb41a5899047c5a1267
SHA1..: eab1a7bfe14075273f9cbd29c40b8f3140eee19e
SHA256: e0b5de1c14089d491d2abffafa6851ef1f4faf2b81f645715f304e709ad07222
ssdeep: 3072:AG7lhMRVMMQuD5U96xCJ5aWRRxnIKe+iYKVAF:T7lhIj9xCJ5aQRxxdK

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xec7e
timedatestamp.....: 0x411d5fd5 (Sat Aug 14 00:41:57 2004)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17648 0x18000 6.53 b50c3edc17fca392fe69d58bf7246282
.rdata 0x19000 0x5d6a 0x6000 4.39 e1d176e8e5196cdd950bd72236131a8a
.data 0x1f000 0x3bd0 0x2000 2.53 2525d92ea2140de59fc7a6f6b79e77b1
.SHARED 0x23000 0x4 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x24000 0x318 0x1000 0.83 13fd47d8f85d0e48ffefb30533a4ade4
.reloc 0x25000 0x271c 0x3000 4.02 cdbdca144183de27f360ef5a74bd7189

( 9 imports )
> USER32.dll: UnhookWindowsHookEx, SetTimer, KillTimer, EnumThreadWindows, IsWindow, IsWindowVisible, CallNextHookEx, GetParent
> KERNEL32.dll: TerminateProcess, LCMapStringA, GetSystemInfo, VirtualProtect, SetUnhandledExceptionFilter, VirtualQuery, FlushFileBuffers, IsBadWritePtr, VirtualAlloc, GetCurrentProcessId, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, ReleaseMutex, WaitForSingleObject, GetLocalTime, ResetEvent, GetLastError, CloseHandle, TerminateThread, SetEvent, CreateThread, SetLastError, GetCurrentProcess, SetThreadPriority, GetCurrentThread, SetPriorityClass, FreeLibrary, LoadLibraryA, SetHandleCount, WriteFile, GetVersionExA, ReadFile, FindClose, GetExitCodeThread, CompareStringA, InterlockedExchange, GetModuleHandleA, GetWindowsDirectoryA, GetSystemDirectoryA, HeapSize, SetEndOfFile, SetFilePointer, SetStdHandle, GetStringTypeA, GetLocaleInfoA, VirtualFree, HeapCreate, InitializeCriticalSection, GetOEMCP, GetStdHandle, GetModuleFileNameA, HeapDestroy, EnterCriticalSection, GetACP, LeaveCriticalSection, IsBadCodePtr, IsBadReadPtr, UnhandledExceptionFilter, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, DeleteCriticalSection, TlsGetValue, TlsSetValue, TlsFree, TlsAlloc, GetTickCount, GetSystemTimeAsFileTime, ExitProcess, RtlUnwind, HeapAlloc, HeapReAlloc, HeapFree, RaiseException, GetCommandLineA, QueryPerformanceCounter, GetFileType
> WININET.dll: HttpOpenRequestW, InternetConnectW, InternetOpenW, InternetCloseHandle, HttpSendRequestW
> WS2_32.dll: -, -, -, -, -
> SensApi.dll: IsNetworkAlive
> ADVAPI32.dll: RegCloseKey, RegNotifyChangeKeyValue
> SHELL32.dll: SHGetSpecialFolderPathW, SHGetSpecialFolderPathA
> ole32.dll: CoUninitialize, CoInitialize, CoTaskMemFree, StringFromIID, CoCreateInstance, CLSIDFromString, CoCreateGuid
> OLEAUT32.dll: -, -, -, -, -

( 6 exports )
DllCanUnloadNow, DllGetClassObject, DllInstall, DllMain, DllRegisterServer, DllUnregisterServer

RDS...: NSRL Reference Data Set
-
pdfid.: -
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=0da1349495955cb41a5899047c5a1267' target='_blank'>http://www.threatexpert.com/report.aspx?md5=0da1349495955cb41a5899047c5a1267</a>
trid..: DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%)


________________________________________________________
C:\WINDOWS\system32\wmpns.dll


a-squared 4.5.0.24 2009.09.05 -
AhnLab-V3 5.0.0.2 2009.09.04 -
AntiVir 7.9.1.8 2009.09.04 -
Antiy-AVL 2.0.3.7 2009.09.04 -
Authentium 5.1.2.4 2009.09.05 -
Avast 4.8.1351.0 2009.09.04 -
AVG 8.5.0.409 2009.09.04 -
BitDefender 7.2 2009.09.05 -
CAT-QuickHeal 10.00 2009.09.05 -
ClamAV 0.94.1 2009.09.05 -
Comodo 2204 2009.09.05 -
DrWeb 5.0.0.12182 2009.09.05 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6721 2009.09.04 -
F-Prot 4.5.1.85 2009.09.04 -
F-Secure 8.0.14470.0 2009.09.04 -
Fortinet 3.120.0.0 2009.09.05 -
GData 19 2009.09.05 -
Ikarus T3.1.1.72.0 2009.09.05 -
Jiangmin 11.0.800 2009.09.05 -
K7AntiVirus 7.10.836 2009.09.04 -
Kaspersky 7.0.0.125 2009.09.05 -
McAfee 5731 2009.09.04 -
McAfee+Artemis 5731 2009.09.04 -
McAfee-GW-Edition 6.8.5 2009.09.05 -
Microsoft 1.5005 2009.09.05 -
NOD32 4397 2009.09.05 -
Norman 6.01.09 2009.09.04 -
nProtect 2009.1.8.0 2009.09.05 -
Panda 10.0.2.2 2009.09.04 -
PCTools 4.4.2.0 2009.09.04 -
Prevx 3.0 2009.09.05 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.05 -
Sunbelt 3.2.1858.2 2009.09.05 -
Symantec 1.4.4.12 2009.09.05 -
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.05 -
VBA32 3.12.10.10 2009.09.04 -
ViRobot 2009.9.4.1919 2009.09.04 -
VirusBuster 4.6.5.0 2009.09.04 -
weitere Informationen
File size: 221184 bytes
MD5...: 806cc87270c34db5d95134d9cf951df8
SHA1..: 685ef3fd0a13eb0fa2bdd1e5740d36d4659bba88
SHA256: 54d27187b804540e848ab1d07299396b1873c1b8e48aee95a497659ff64445ef
ssdeep: 3072:BV9liETvIJNG9B+/jbRlNeQJGOsZuhzIZyd3svgmSRdTvcNG94LlzGtkh
zIZE

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x19aaf
timedatestamp.....: 0x411096f6 (Wed Aug 04 07:57:42 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c693 0x2d000 6.33 d3e59eb821f242a9315491b8a8bc10bc
.data 0x2e000 0x40f0 0x3000 5.62 9389f2e12e9c1e390737382612e25abf
.rsrc 0x33000 0x3d8 0x1000 1.04 b1f9f3fc230509e17b143f93967209f4
.reloc 0x34000 0x3b40 0x4000 4.18 e2a088a1be3bf8c65b4822ef67e36ef8

( 10 imports )
> msvcrt.dll: wcsstr, _wcsnicmp, _wtol, _vsnwprintf, wcschr, wcspbrk, iswspace, memmove, wcslen, wcsncmp, towupper, _wcsicmp, wcsrchr, vswprintf, _beginthreadex, _wtoi, iswdigit, wcscmp, _snwprintf, wcsncpy, __3@YAXPAX@Z, _onexit, __dllonexit, _adjust_fdiv, malloc, _initterm, free, _purecall, _except_handler3, __2@YAPAXI@Z
> MPR.dll: WNetGetConnectionW, WNetGetConnectionA, WNetCancelConnection2W, WNetAddConnection2W
> KERNEL32.dll: CompareStringW, GetDriveTypeA, GetDriveTypeW, QueryDosDeviceA, QueryDosDeviceW, GetWindowsDirectoryW, GetLocaleInfoW, GetLocaleInfoA, GetVersionExW, lstrcpyW, lstrcatW, LoadLibraryW, lstrcpynW, GetModuleHandleW, GetModuleFileNameW, GetModuleFileNameA, GetFileAttributesW, GetFileAttributesA, lstrlenA, CloseHandle, GetCurrentThreadId, WaitForSingleObject, SetEvent, FlushInstructionCache, GetCurrentProcess, InterlockedIncrement, LeaveCriticalSection, EnterCriticalSection, InterlockedDecrement, SetLastError, GetLastError, FreeLibrary, SetErrorMode, GetProcAddress, GetExitCodeThread, CreateFileW, CreateFileA, DeviceIoControl, GetVersion, GetUserDefaultLangID, CreateThread, InitializeCriticalSection, HeapDestroy, DeleteCriticalSection, DisableThreadLibraryCalls, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, CreateEventW, CreateEventA, CompareStringA, GetModuleHandleA, GetWindowsDirectoryA, lstrlenW, GetVersionExA, MultiByteToWideChar, WideCharToMultiByte, VirtualAlloc, VirtualFree, LoadLibraryA, HeapAlloc, GetProcessHeap, HeapFree, SetUnhandledExceptionFilter, UnhandledExceptionFilter
> GDI32.dll: SelectPalette, RealizePalette, RectVisible, SetDIBitsToDevice, StretchDIBits, MaskBlt, StretchBlt, CreateDIBSection, GetDIBColorTable, GetDeviceCaps, GetObjectW, GetObjectType, GetObjectA, CreateICW, CreateICA, GetClipBox, CreateCompatibleDC, SelectClipRgn, SelectObject, OffsetViewportOrgEx, DeleteDC, SetRectRgn, CreateRectRgnIndirect, DeleteObject
> USER32.dll: MessageBoxA, MessageBoxW, PeekMessageA, PeekMessageW, PostMessageA, PostMessageW, PostThreadMessageA, PostThreadMessageW, RegisterClassExA, RegisterClassExW, UnregisterClassA, UnregisterClassW, RegisterWindowMessageA, SendMessageW, SetWindowLongA, SetWindowLongW, wvsprintfW, GetMonitorInfoA, GetMonitorInfoW, CharNextW, GetCapture, ReleaseCapture, SetCapture, GetFocus, SetFocus, IsWindowVisible, GetDC, ReleaseDC, InvalidateRect, InvalidateRgn, PtInRect, MonitorFromRect, WindowFromDC, LoadCursorW, GetWindowTextW, GetWindowTextA, GetWindowLongW, GetWindowLongA, GetMessageW, GetMessageA, GetClassNameA, GetClassLongA, GetClassInfoExW, GetClassInfoExA, DispatchMessageW, DispatchMessageA, DefWindowProcW, DefWindowProcA, CreateWindowExW, CreateWindowExA, GetSystemMetrics, CharNextA, GetCursorPos, MapWindowPoints, CallWindowProcW, CallWindowProcA, BeginPaint, CopyRect, LoadCursorA, OffsetRect, EndPaint, IsChild, ShowWindow, GetClientRect, SetWindowPos, GetParent, GetWindowRect, TranslateMessage, SetParent, IsWindow, DestroyWindow, BringWindowToTop, SendMessageA
> ADVAPI32.dll: RegCreateKeyExA, RegCreateKeyExW, RegOpenKeyExA, RegOpenKeyExW, RegQueryValueExA, RegQueryValueExW, RegCloseKey
> ole32.dll: CoUninitialize, CoFreeUnusedLibraries, CoInitialize, CoCreateInstance
> COMCTL32.dll: InitCommonControlsEx
> OLEAUT32.dll: -, -, -, -, -, -, -
> SHLWAPI.dll: PathGetCharTypeW, PathGetCharTypeA

( 247 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, _Java_WMPNS_EventThread_CheckEvents@8, _Java_WMPNS_EventThread_GetThreadID@8, _Java_WMPNS_EventThread_kill@12, _Java_WMPNS_IWMPCdromCollection_equalsNative@20, _Java_WMPNS_IWMPCdromCollection_getByDriveSpecifierNative@20, _Java_WMPNS_IWMPCdromCollection_getCountNative@16, _Java_WMPNS_IWMPCdromCollection_itemNative@24, _Java_WMPNS_IWMPCdrom_ejectNative@16, _Java_WMPNS_IWMPCdrom_equalsNative@20, _Java_WMPNS_IWMPCdrom_getDriveSpecifierNative@16, _Java_WMPNS_IWMPCdrom_getPlaylistNative@16, _Java_WMPNS_IWMPClosedCaption_equalsNative@20, _Java_WMPNS_IWMPClosedCaption_getCaptioningIDNative@16, _Java_WMPNS_IWMPClosedCaption_getSAMIFileNameNative@16, _Java_WMPNS_IWMPClosedCaption_getSAMILangCountNative@16, _Java_WMPNS_IWMPClosedCaption_getSAMILangIDNative@24, _Java_WMPNS_IWMPClosedCaption_getSAMILangNameNative@24, _Java_WMPNS_IWMPClosedCaption_getSAMILangNative@16, _Java_WMPNS_IWMPClosedCaption_getSAMIStyleCountNative@16, _Java_WMPNS_IWMPClosedCaption_getSAMIStyleNameNative@24, _Java_WMPNS_IWMPClosedCaption_getSAMIStyleNative@16, _Java_WMPNS_IWMPClosedCaption_setCaptioningIDNative@20, _Java_WMPNS_IWMPClosedCaption_setSAMIFileNameNative@20, _Java_WMPNS_IWMPClosedCaption_setSAMILangNative@20, _Java_WMPNS_IWMPClosedCaption_setSAMIStyleNative@20, _Java_WMPNS_IWMPControls_equalsNative@20, _Java_WMPNS_IWMPControls_fastForwardNative@16, _Java_WMPNS_IWMPControls_fastReverseNative@16, _Java_WMPNS_IWMPControls_getAudioLanguageCountNative@16, _Java_WMPNS_IWMPControls_getAudioLanguageDescriptionNative@24, _Java_WMPNS_IWMPControls_getAudioLanguageIDNative@24, _Java_WMPNS_IWMPControls_getCurrentAudioLanguageIndexNative@16, _Java_WMPNS_IWMPControls_getCurrentAudioLanguageNative@16, _Java_WMPNS_IWMPControls_getCurrentItemNative@16, _Java_WMPNS_IWMPControls_getCurrentMarkerNative@16, _Java_WMPNS_IWMPControls_getCurrentPositionNative@16, _Java_WMPNS_IWMPControls_getCurrentPositionStringNative@16, _Java_WMPNS_IWMPControls_getCurrentPositionTimecodeNative@16, _Java_WMPNS_IWMPControls_getLanguageNameNative@24, _Java_WMPNS_IWMPControls_isAvailableNative@20, _Java_WMPNS_IWMPControls_nextNative@16, _Java_WMPNS_IWMPControls_pauseNative@16, _Java_WMPNS_IWMPControls_playItemNative@20, _Java_WMPNS_IWMPControls_playNative@16, _Java_WMPNS_IWMPControls_previousNative@16, _Java_WMPNS_IWMPControls_setCurrentAudioLanguageIndexNative@24, _Java_WMPNS_IWMPControls_setCurrentAudioLanguageNative@24, _Java_WMPNS_IWMPControls_setCurrentItemNative@20, _Java_WMPNS_IWMPControls_setCurrentMarkerNative@24, _Java_WMPNS_IWMPControls_setCurrentPositionNative@24, _Java_WMPNS_IWMPControls_setCurrentPositionTimecodeNative@20, _Java_WMPNS_IWMPControls_stepNative@24, _Java_WMPNS_IWMPControls_stopNative@16, _Java_WMPNS_IWMPDVD_backNative@16, _Java_WMPNS_IWMPDVD_equalsNative@20, _Java_WMPNS_IWMPDVD_getDomainNative@16, _Java_WMPNS_IWMPDVD_isAvailableNative@20, _Java_WMPNS_IWMPDVD_resumeNative@16, _Java_WMPNS_IWMPDVD_titleMenuNative@16, _Java_WMPNS_IWMPDVD_topMenuNative@16, _Java_WMPNS_IWMPErrorItem_equalsNative@20, _Java_WMPNS_IWMPErrorItem_getConditionNative@16, _Java_WMPNS_IWMPErrorItem_getCustomUrlNative@16, _Java_WMPNS_IWMPErrorItem_getErrorCodeNative@16, _Java_WMPNS_IWMPErrorItem_getErrorContextNative@16, _Java_WMPNS_IWMPErrorItem_getErrorDescriptionNative@16, _Java_WMPNS_IWMPErrorItem_getRemedyNative@16, _Java_WMPNS_IWMPError_clearErrorQueueNative@16, _Java_WMPNS_IWMPError_equalsNative@20, _Java_WMPNS_IWMPError_getErrorCountNative@16, _Java_WMPNS_IWMPError_itemNative@24, _Java_WMPNS_IWMPError_webHelpNative@16, _Java_WMPNS_IWMPMediaCollection_addNative@20, _Java_WMPNS_IWMPMediaCollection_equalsNative@20, _Java_WMPNS_IWMPMediaCollection_getAllNative@16, _Java_WMPNS_IWMPMediaCollection_getAttributeStringCollectionNative@24, _Java_WMPNS_IWMPMediaCollection_getByAlbumNative@20, _Java_WMPNS_IWMPMediaCollection_getByAttributeNative@24, _Java_WMPNS_IWMPMediaCollection_getByAuthorNative@20, _Java_WMPNS_IWMPMediaCollection_getByGenreNative@20, _Java_WMPNS_IWMPMediaCollection_getByNameNative@20, _Java_WMPNS_IWMPMediaCollection_getMediaAtomNative@20, _Java_WMPNS_IWMPMediaCollection_isDeletedNative@20, _Java_WMPNS_IWMPMediaCollection_removeNative@24, _Java_WMPNS_IWMPMediaCollection_setDeletedNative@24, _Java_WMPNS_IWMPMedia_equalsNative@20, _Java_WMPNS_IWMPMedia_getAttributeCountByTypeNative@24, _Java_WMPNS_IWMPMedia_getAttributeCountNative@16, _Java_WMPNS_IWMPMedia_getAttributeNameNative@24, _Java_WMPNS_IWMPMedia_getDurationNative@16, _Java_WMPNS_IWMPMedia_getDurationStringNative@16, _Java_WMPNS_IWMPMedia_getErrorNative@16, _Java_WMPNS_IWMPMedia_getImageSourceHeightNative@16, _Java_WMPNS_IWMPMedia_getImageSourceWidthNative@16, _Java_WMPNS_IWMPMedia_getItemInfoByAtomNative@24, _Java_WMPNS_IWMPMedia_getItemInfoByTypeNative@32, _Java_WMPNS_IWMPMedia_getItemInfoNative@20, _Java_WMPNS_IWMPMedia_getMarkerCountNative@16, _Java_WMPNS_IWMPMedia_getMarkerNameNative@24, _Java_WMPNS_IWMPMedia_getMarkerTimeNative@24, _Java_WMPNS_IWMPMedia_getNameNative@16, _Java_WMPNS_IWMPMedia_getSourceURLNative@16, _Java_WMPNS_IWMPMedia_isIdenticalNative@20, _Java_WMPNS_IWMPMedia_isMemberOfNative@20, _Java_WMPNS_IWMPMedia_isReadOnlyItemNative@20, _Java_WMPNS_IWMPMedia_setItemInfoNative@24, _Java_WMPNS_IWMPMedia_setNameNative@20, _Java_WMPNS_IWMPNetwork_equalsNative@20, _Java_WMPNS_IWMPNetwork_getBandWidthNative@16, _Java_WMPNS_IWMPNetwork_getBitRateNative@16, _Java_WMPNS_IWMPNetwork_getBufferingCountNative@16, _Java_WMPNS_IWMPNetwork_getBufferingProgressNative@16, _Java_WMPNS_IWMPNetwork_getBufferingTimeNative@16, _Java_WMPNS_IWMPNetwork_getDownloadProgressNative@16, _Java_WMPNS_IWMPNetwork_getEncodedFrameRateNative@16, _Java_WMPNS_IWMPNetwork_getFrameRateNative@16, _Java_WMPNS_IWMPNetwork_getFramesSkippedNative@16, _Java_WMPNS_IWMPNetwork_getLostPacketsNative@16, _Java_WMPNS_IWMPNetwork_getMaxBandwidthNative@16, _Java_WMPNS_IWMPNetwork_getMaxBitRateNative@16, _Java_WMPNS_IWMPNetwork_getProxyBypassForLocalNative@20, _Java_WMPNS_IWMPNetwork_getProxyExceptionListNative@20, _Java_WMPNS_IWMPNetwork_getProxyNameNative@20, _Java_WMPNS_IWMPNetwork_getProxyPortNative@20, _Java_WMPNS_IWMPNetwork_getProxySettingsNative@20, _Java_WMPNS_IWMPNetwork_getReceivedPacketsNative@16, _Java_WMPNS_IWMPNetwork_getReceptionQualityNative@16, _Java_WMPNS_IWMPNetwork_getRecoveredPacketsNative@16, _Java_WMPNS_IWMPNetwork_getSourceProtocolNative@16, _Java_WMPNS_IWMPNetwork_setBufferingTimeNative@24, _Java_WMPNS_IWMPNetwork_setMaxBandwidthNative@24, _Java_WMPNS_IWMPNetwork_setProxyBypassForLocalNative@24, _Java_WMPNS_IWMPNetwork_setProxyExceptionListNative@24, _Java_WMPNS_IWMPNetwork_setProxyNameNative@24, _Java_WMPNS_IWMPNetwork_setProxyPortNative@28, _Java_WMPNS_IWMPNetwork_setProxySettingsNative@28, _Java_WMPNS_IWMPPlayerApplication_equalsNative@20, _Java_WMPNS_IWMPPlayerApplication_getHasDisplayNative@16, _Java_WMPNS_IWMPPlayerApplication_getPlayerDockedNative@16, _Java_WMPNS_IWMPPlayerApplication_switchToControlNative@16, _Java_WMPNS_IWMPPlayerApplication_switchToPlayerApplicationNative@16, _Java_WMPNS_IWMPPlayer_closeNative@16, _Java_WMPNS_IWMPPlayer_equalsNative@20, _Java_WMPNS_IWMPPlayer_getCdromCollectionNative@16, _Java_WMPNS_IWMPPlayer_getClosedCaptionNative@16, _Java_WMPNS_IWMPPlayer_getControlsNative@16, _Java_WMPNS_IWMPPlayer_getCurrentMediaNative@16, _Java_WMPNS_IWMPPlayer_getCurrentPlaylistNative@16, _Java_WMPNS_IWMPPlayer_getDvdNative@16, _Java_WMPNS_IWMPPlayer_getEnableContextMenuNative@16, _Java_WMPNS_IWMPPlayer_getEnabledNative@16, _Java_WMPNS_IWMPPlayer_getErrorNative@16, _Java_WMPNS_IWMPPlayer_getFullScreenNative@16, _Java_WMPNS_IWMPPlayer_getIsOnlineNative@16, _Java_WMPNS_IWMPPlayer_getIsRemoteNative@16, _Java_WMPNS_IWMPPlayer_getMediaCollectionNative@16, _Java_WMPNS_IWMPPlayer_getNetworkNative@16, _Java_WMPNS_IWMPPlayer_getOpenStateNative@16, _Java_WMPNS_IWMPPlayer_getPlayStateNative@16, _Java_WMPNS_IWMPPlayer_getPlayerApplicationNative@16, _Java_WMPNS_IWMPPlayer_getPlaylistCollectionNative@16, _Java_WMPNS_IWMPPlayer_getSettingsNative@16, _Java_WMPNS_IWMPPlayer_getStatusNative@16, _Java_WMPNS_IWMPPlayer_getStretchToFitNative@16, _Java_WMPNS_IWMPPlayer_getURLNative@16, _Java_WMPNS_IWMPPlayer_getUiModeNative@16, _Java_WMPNS_IWMPPlayer_getVersionInfoNative@16, _Java_WMPNS_IWMPPlayer_getWindowlessVideoNative@16, _Java_WMPNS_IWMPPlayer_launchURLNative@20, _Java_WMPNS_IWMPPlayer_newMediaNative@20, _Java_WMPNS_IWMPPlayer_newPlaylistNative@24, _Java_WMPNS_IWMPPlayer_openPlayerNative@20, _Java_WMPNS_IWMPPlayer_setCurrentMediaNative@20, _Java_WMPNS_IWMPPlayer_setCurrentPlaylistNative@20, _Java_WMPNS_IWMPPlayer_setEnableContextMenuNative@20, _Java_WMPNS_IWMPPlayer_setEnabledNative@20, _Java_WMPNS_IWMPPlayer_setFullScreenNative@20, _Java_WMPNS_IWMPPlayer_setStretchToFitNative@20, _Java_WMPNS_IWMPPlayer_setURLNative@20, _Java_WMPNS_IWMPPlayer_setUiModeNative@20, _Java_WMPNS_IWMPPlayer_setWindowlessVideoNative@20, _Java_WMPNS_IWMPPlaylistArray_equalsNative@20, _Java_WMPNS_IWMPPlaylistArray_getCountNative@16, _Java_WMPNS_IWMPPlaylistArray_itemNative@24, _Java_WMPNS_IWMPPlaylistCollection_equalsNative@20, _Java_WMPNS_IWMPPlaylistCollection_getAllNative@16, _Java_WMPNS_IWMPPlaylistCollection_getByNameNative@20, _Java_WMPNS_IWMPPlaylistCollection_importPlaylistNative@20, _Java_WMPNS_IWMPPlaylistCollection_isDeletedNative@20, _Java_WMPNS_IWMPPlaylistCollection_newPlaylistNative@20, _Java_WMPNS_IWMPPlaylistCollection_removeNative@20, _Java_WMPNS_IWMPPlaylistCollection_setDeletedNative@24, _Java_WMPNS_IWMPPlaylist_appendItemNative@20, _Java_WMPNS_IWMPPlaylist_clearNative@16, _Java_WMPNS_IWMPPlaylist_equalsNative@20, _Java_WMPNS_IWMPPlaylist_getAttributeCountNative@16, _Java_WMPNS_IWMPPlaylist_getAttributeNameNative@24, _Java_WMPNS_IWMPPlaylist_getCountNative@16, _Java_WMPNS_IWMPPlaylist_getItemInfoNative@20, _Java_WMPNS_IWMPPlaylist_getNameNative@16, _Java_WMPNS_IWMPPlaylist_insertItemNative@28, _Java_WMPNS_IWMPPlaylist_isIdenticalNative@20, _Java_WMPNS_IWMPPlaylist_itemNative@24, _Java_WMPNS_IWMPPlaylist_moveItemNative@32, _Java_WMPNS_IWMPPlaylist_removeItemNative@20, _Java_WMPNS_IWMPPlaylist_setItemInfoNative@24, _Java_WMPNS_IWMPPlaylist_setNameNative@20, _Java_WMPNS_IWMPSettings_equalsNative@20, _Java_WMPNS_IWMPSettings_getAutoStartNative@16, _Java_WMPNS_IWMPSettings_getBalanceNative@16, _Java_WMPNS_IWMPSettings_getBaseURLNative@16, _Java_WMPNS_IWMPSettings_getDefaultAudioLanguageNative@16, _Java_WMPNS_IWMPSettings_getDefaultFrameNative@16, _Java_WMPNS_IWMPSettings_getEnableErrorDialogsNative@16, _Java_WMPNS_IWMPSettings_getInvokeURLsNative@16, _Java_WMPNS_IWMPSettings_getMediaAccessRightsNative@16, _Java_WMPNS_IWMPSettings_getModeNative@20, _Java_WMPNS_IWMPSettings_getMuteNative@16, _Java_WMPNS_IWMPSettings_getPlayCountNative@16, _Java_WMPNS_IWMPSettings_getRateNative@16, _Java_WMPNS_IWMPSettings_getVolumeNative@16, _Java_WMPNS_IWMPSettings_isAvailableNative@20, _Java_WMPNS_IWMPSettings_requestMediaAccessRightsNative@20, _Java_WMPNS_IWMPSettings_setAutoStartNative@20, _Java_WMPNS_IWMPSettings_setBalanceNative@24, _Java_WMPNS_IWMPSettings_setBaseURLNative@20, _Java_WMPNS_IWMPSettings_setDefaultFrameNative@20, _Java_WMPNS_IWMPSettings_setEnableErrorDialogsNative@20, _Java_WMPNS_IWMPSettings_setInvokeURLsNative@20, _Java_WMPNS_IWMPSettings_setModeNative@24, _Java_WMPNS_IWMPSettings_setMuteNative@20, _Java_WMPNS_IWMPSettings_setPlayCountNative@24, _Java_WMPNS_IWMPSettings_setRateNative@24, _Java_WMPNS_IWMPSettings_setVolumeNative@24, _Java_WMPNS_IWMPStringCollection_equalsNative@20, _Java_WMPNS_IWMPStringCollection_getCountNative@16, _Java_WMPNS_IWMPStringCollection_itemNative@24, _Java_WMPNS_WMP_debug@12, _Java_WMPNS_WMP_getAppletHWND@8, _Java_WMPNS_WMP_getPlayer@12, _Java_WMPNS_WMP_getTargetHWND@12, _Java_WMPNS_WMP_killThread@12, _Java_WMPNS_WMP_spawnThread@16

RDS...: NSRL Reference Data Set
-
trid..: DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)
pdfid.: -


________________________________________________

Combofix:
(konnte ein paar AVG Prozesse nicht stoppen, habe es trotzdem laufen lassen)
http://rapidshare.de/files/48283096/ComboFix.txt.html


__________________________________________________

Sieht doch alles gut aus, oder ? Sollte kein Übertäter mehr dabei sein....

Alt 05.09.2009, 09:18   #14
Chris4You
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Hi,

ja, sieht gut aus.
Lösche das Verzeichnis c:\programme\kqkebf...

Das sollte es gewesen sein...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.09.2009, 20:50   #15
arnesail
 
lsp.dll gelöscht, aber Trojaner noch da... - Standard

lsp.dll gelöscht, aber Trojaner noch da...



Vielen Dank für die Hilfe, Chris !!!

Antwort

Themen zu lsp.dll gelöscht, aber Trojaner noch da...
adobe, bho, computer, dateien, excel, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, jusched.exe, messenger, micro, microsoft, msn, pdf, programme, realplay.exe, realplayer, software, system, system tool, trojaner, windows, windows xp



Ähnliche Themen: lsp.dll gelöscht, aber Trojaner noch da...


  1. Win32 Anyprotect gelöscht, aber Kernel32.dll anscheinend noch infiziert
    Log-Analyse und Auswertung - 13.04.2015 (5)
  2. PUP.Nextlive.a mit MAM erfolgreich gelöscht, aber noch in der Systemkonfig vorhanden
    Plagegeister aller Art und deren Bekämpfung - 09.06.2014 (11)
  3. Trojaner und Malware gefunden, wurden gelöscht, Pc-Probleme sind aber noch da
    Plagegeister aller Art und deren Bekämpfung - 06.09.2013 (18)
  4. Trojaner gelöscht aber wohl nicht ganz
    Log-Analyse und Auswertung - 09.02.2013 (12)
  5. VGU Trojaner gelöscht, aber noch Fehlermeldung!
    Log-Analyse und Auswertung - 03.01.2013 (16)
  6. GVU-Trojaner mit Avira gelöscht - Symptome weg - Aber PC sauber?
    Log-Analyse und Auswertung - 21.11.2012 (2)
  7. Flirtfever Trojaner - ist gelöscht - aber Daten wie entschlüsseln?
    Plagegeister aller Art und deren Bekämpfung - 11.09.2012 (1)
  8. Flirt-Fever Trojaner gelöscht aber verschlüsselung bleibt?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  9. Trojaner gefunden & gelöscht, aber problem immernoch da!
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (40)
  10. Bundespolizei Trojaner gelöscht, aber wirklich weg ?
    Plagegeister aller Art und deren Bekämpfung - 21.08.2011 (7)
  11. Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (18)
  12. Trojaner gelöscht aber PC hängt noch
    Diskussionsforum - 11.09.2010 (1)
  13. Trojaner, Dropper; Malware gelöscht, aber auch sicher?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2010 (3)
  14. Trojaner PROCESSWATCH.EXE von McAffe erkannt, gelöscht, existiert aber immer noch
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (3)
  15. Trojaner psw.pdpi.ct.1.d - gelöscht, aber unsicher ob wirklich weg...
    Log-Analyse und Auswertung - 16.12.2006 (2)
  16. Trojaner, Datei gelöscht, scheint aber noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 22.09.2006 (64)
  17. W32/parite gelöscht aber trotzdem noch da!
    Plagegeister aller Art und deren Bekämpfung - 04.08.2004 (5)

Zum Thema lsp.dll gelöscht, aber Trojaner noch da... - Hallo, die lsp.dll habe ich mit lspfix gelöscht, doch immer noch werde ich im Internet umgeleitet und Programme lassen sich nicht installieren. Kann jemand bitte helfen, was ich noch tun - lsp.dll gelöscht, aber Trojaner noch da......
Archiv
Du betrachtest: lsp.dll gelöscht, aber Trojaner noch da... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.