Gehe auf dein Arbeitsplatz im PC -> Oben auf "Extras" -> Ordneroptionen-> "Ansicht" -> "Geschützte Systemdatein ausblenden (empfohlen)" = Haken weg -> "Alle Datein und Ordner anzeigen" Haken rein.

Lade nun folgende untenstehende Datein, die in den Code tags stehen bei VirusTotal - Free Online Virus and Malware Scan hoch, poste das Ergebnis mit Md5 und Sha. Falls nicht alles passen, sollte, dann teile die Ergebnise auf mehrere Beiträge auf.

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\6833245EDD86479A882A8360D62C8194.TMP
C:\WINDOWS\system32\inetsrv
C:\WINDOWS\system32\drivers\mnqxisqxnoixvpop.sys
C:\WINDOWS\system32\drivers\oqmcrevxylbesvmb.sys
C:\WINDOWS\system32\drivers\timiqufniwtixnse.sys
C:\WINDOWS\system32\drivers\tvxyecrnmsrnsiuw.sys
         

Azureus -> Ich würde dir empfehlen es zu deinstallieren, das Programm ist zwar an sich nicht schädlich, aber dadurch kann man sich verseuchte Datein herunterladen.

Hallo Angel,

also erstmal zum ersten Eintrag mit der Endung *.TMP, das ist ein Ordner der die Datei WiseCustomCalla.dll beinhaltet.
Diese habe ich jetzt gesendet und scannen lassen, Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

a-squared 4.5.0.24 2009.09.27 - 
AhnLab-V3 5.0.0.2 2009.09.26 - 
AntiVir 7.9.1.25 2009.09.25 - 
Antiy-AVL 2.0.3.7 2009.09.27 - 
Authentium 5.1.2.4 2009.09.26 - 
Avast 4.8.1351.0 2009.09.26 - 
AVG 8.5.0.412 2009.09.27 - 
BitDefender 7.2 2009.09.27 - 
CAT-QuickHeal 10.00 2009.09.26 - 
ClamAV 0.94.1 2009.09.27 - 
Comodo 2451 2009.09.27 - 
DrWeb 5.0.0.12182 2009.09.27 - 
eSafe 7.0.17.0 2009.09.24 - 
eTrust-Vet 31.6.6763 2009.09.27 - 
F-Prot 4.5.1.85 2009.09.26 - 
F-Secure 8.0.14470.0 2009.09.26 - 
Fortinet 3.120.0.0 2009.09.27 - 
GData 19 2009.09.27 - 
Ikarus T3.1.1.72.0 2009.09.27 - 
Jiangmin 11.0.800 2009.09.27 - 
K7AntiVirus 7.10.855 2009.09.26 - 
Kaspersky 7.0.0.125 2009.09.27 - 
McAfee 5753 2009.09.26 - 
McAfee+Artemis 5753 2009.09.26 - 
McAfee-GW-Edition 6.8.5 2009.09.27 - 
Microsoft 1.5005 2009.09.23 - 
NOD32 4461 2009.09.27 - 
Norman 6.01.09 2009.09.26 - 
nProtect 2009.1.8.0 2009.09.27 - 
Panda 10.0.2.2 2009.09.26 - 
PCTools 4.4.2.0 2009.09.25 - 
Prevx 3.0 2009.09.27 - 
Rising 21.48.62.00 2009.09.27 - 
Sophos 4.45.0 2009.09.27 - 
Sunbelt 3.2.1858.2 2009.09.26 - 
Symantec 1.4.4.12 2009.09.27 - 
TheHacker 6.5.0.2.019 2009.09.26 - 
TrendMicro 8.950.0.1094 2009.09.25 - 
VBA32 3.12.10.11 2009.09.25 - 
ViRobot 2009.9.26.1958 2009.09.26 - 
VirusBuster 4.6.5.0 2009.09.26 - 


File size: 155648 bytes 
MD5...: 4289e98b574fdfd53a04a0ae6d54765e 
SHA1..: 518a7987fe3a465a86e1a05353617e89c5206644 
SHA256: a0f135f8d77e69d34c9b78390e2e02de3280cb30fd00d236fdcc6e5ae2724a91 
ssdeep: 3072:QM8gg/NQnqd/fWOZ0Vx2s8wDMTWlobBSDc4R:egaQnuHWu2c08/bj
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a09
timedatestamp.....: 0x456ca109 (Tue Nov 28 20:50:17 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14ad4 0x15000 6.57 d1f1b51b250365bbe6966ce849ea5d8b
.rdata 0x16000 0x5510 0x6000 4.66 167ffafd1c143837e13bd975d608827f
.data 0x1c000 0x5014 0x2000 3.45 e39b8c4713185bd4007531b4dfc20be6
.rsrc 0x22000 0x3b48 0x4000 3.29 a0f1ce5193c597e5cd6aa230baa9c853
.reloc 0x26000 0x3b9a 0x4000 3.40 2b4bdec4a1ee679c80aca327d43e171b

( 9 imports ) 
> KERNEL32.dll: SetErrorMode, WritePrivateProfileStringA, InterlockedIncrement, GlobalFlags, RaiseException, lstrcmpW, GlobalFindAtomA, GlobalGetAtomNameA, ReadFile, WriteFile, SetFilePointer, FlushFileBuffers, GetCurrentProcess, GetCPInfo, lstrcatA, ExitProcess, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, GetCommandLineA, TerminateProcess, HeapSize, HeapReAlloc, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, HeapDestroy, HeapCreate, VirtualFree, IsBadWritePtr, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, InterlockedDecrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, LocalAlloc, SetLastError, GlobalFree, GlobalUnlock, lstrcpynA, GlobalAddAtomA, FindResourceA, LoadResource, LockResource, SizeofResource, GetCurrentThread, GetCurrentThreadId, GlobalLock, GlobalAlloc, FreeLibrary, GlobalDeleteAtom, lstrcmpA, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, ConvertDefaultLocale, EnumResourceLanguagesA, lstrcpyA, LoadLibraryA, lstrlenA, lstrcmpiA, GetVersion, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, CreateProcessA, WaitForSingleObject, Sleep, DeleteFileA, RemoveDirectoryA, CloseHandle, GetLastError, FormatMessageA, GetOEMCP, LocalFree
> USER32.dll: CreateWindowExA, GetCapture, WinHelpA, RegisterWindowMessageA, DestroyMenu, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, LoadIconA, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, AdjustWindowRectEx, GetClassInfoA, RegisterClassA, DefWindowProcA, CallWindowProcA, SystemParametersInfoA, IsIconic, GetWindowPlacement, CopyRect, SetWindowPos, ShowWindow, GetClassLongA, GetDlgItem, LoadCursorA, GetSystemMetrics, GetSysColorBrush, GetSysColor, ReleaseDC, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, PtInRect, GetWindowTextA, SetWindowTextA, GetClassNameA, UnregisterClassA, UnhookWindowsHookEx, MessageBoxA, wsprintfA, GetClassInfoExA, GetMenuItemID, GetMenuItemCount, GetSubMenu, SetMenuItemBitmaps, GetFocus, ModifyMenuA, GetMenuState, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, SetWindowLongA, PostQuitMessage, PostMessageA, SetCursor, SendMessageA, EnableWindow, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, GetParent, ValidateRect, GetCursorPos, PeekMessageA, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, LoadBitmapA, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, GetDC
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegQueryValueA, RegOpenKeyA, RegEnumKeyA, RegDeleteKeyA, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyExA
> COMCTL32.dll: -
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEACC.dll: LresultFromObject, CreateStdAccessibleObject
> GDI32.dll: GetStockObject, OffsetViewportOrgEx, GetDeviceCaps, DeleteObject, SaveDC, RestoreDC, SetBkColor, DeleteDC, SetTextColor, SetMapMode, GetClipBox, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, CreateBitmap, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, SetViewportExtEx
> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter
> OLEAUT32.dll: -, -, -

( 2 exports ) 
GetExistingPhysXInformation, UnInstallExistingPhysX
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%) 
sigcheck:
publisher....: TODO: _Company name_
copyright....: TODO: (c) _Company name_. All rights reserved.
product......: TODO: _Product name_
description..: TODO: _File description_
original name: readregistry.dll
internal name: readregistry.dll
file version.: 1.0.0.1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

Und inetsrv ist ebenfalls ein Ordner, meines Erachtens ist das der IIS-Ordner.
Ich hab hier nen Webserver zu laufen wegen der Autodesk Datenmanagament Lösung, die braucht den IIS zum Arbeiten genauso den SQL-Server.

Ich lad jetzt nicht alle Dateien aus dem inetsrv Ordner hoch, das wär ein bisschen viel

Bitte MIT den Funden der 40 AVP Scanner, erst senden, wenn der Ladebalken oben zu Ende ist, sonst hats kein Wert

Hab die Scan-Ergebnisse jetzt mit beigefügt, hatte ich vorher nicht so richtig realisiert das er mit den Scan-Engines das File durchsucht
Ich hab die Ergebnisse nachträglich unten reineditiert, sieht aber so aus als wenn das File ok ist.
Warum erscheint der Thread eigentlich von unten nach oben sortiert? Kann man das irgendwo umbiegen, dass von oben nach unten sortiert wird?

Die Treiberdateien sind nicht mehr vorhanden und auch ähnlich bekloppt benannte Dateien lassen sich nicht auffinden in \%windowsroot%\system32\drivers



P.S.: och nö, Azureus ist echt komfortabel für torrents, hatte allerdings schon überlegt ob ich nicht mal nach nem schlankeren Client Ausschau halte.
Und wo wir schon mal dabei sind, der Webserver kann jetzt eigentlich wieder runter, da ich das Autodesk Datenmanagement sowieso nur zu Testzwecken drauf habe. Werde den IIS dann nach der Aktion runterknüppeln.