ok, da ist die Analyse:


Datei OSA9.EXE empfangen 2009.10.28 18:35:48 (UTC)
Status: Beendet
Ergebnis: 1/41 (2.44%)


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.28 -
AhnLab-V3 5.0.0.2 2009.10.28 -
AntiVir 7.9.1.50 2009.10.28 -
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.28 -
Avast 4.8.1351.0 2009.10.28 -
AVG 8.5.0.423 2009.10.28 -
BitDefender 7.2 2009.10.28 -
CAT-QuickHeal 10.00 2009.10.28 -
ClamAV 0.94.1 2009.10.28 -
Comodo 2757 2009.10.28 -
DrWeb 5.0.0.12182 2009.10.28 -
eSafe 7.0.17.0 2009.10.28 -
eTrust-Vet 35.1.7088 2009.10.28 -
F-Prot 4.5.1.85 2009.10.28 -
F-Secure 9.0.15370.0 2009.10.27 -
Fortinet 3.120.0.0 2009.10.28 -
GData 19 2009.10.28 -
Ikarus T3.1.1.72.0 2009.10.28 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.881 2009.10.27 -
Kaspersky 7.0.0.125 2009.10.28 -
McAfee 5784 2009.10.27 -
McAfee+Artemis 5784 2009.10.27 -
McAfee-GW-Edition 6.8.5 2009.10.28 Heuristic.BehavesLike.Win32.Dropper.L
Microsoft 1.5202 2009.10.28 -
NOD32 4552 2009.10.28 -
Norman 6.03.02 2009.10.27 -
nProtect 2009.1.8.0 2009.10.28 -
Panda 10.0.2.2 2009.10.27 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.28 -
Rising 21.53.24.00 2009.10.28 -
Sophos 4.46.0 2009.10.28 -
Sunbelt 3.2.1858.2 2009.10.27 -
Symantec 1.4.4.12 2009.10.28 -
TheHacker 6.5.0.2.056 2009.10.28 -
TrendMicro 8.950.0.1094 2009.10.28 -
VBA32 3.12.10.11 2009.10.27 -
ViRobot 2009.10.28.2009 2009.10.28 -
VirusBuster 4.6.5.0 2009.10.28 -
weitere Informationen
File size: 65588 bytes
MD5...: f09f2bd085dfc07acc69f83108787f84
SHA1..: fed3b454b4f8dbb26f10d113aadfbd22242a8633
SHA256: 57da5997909f009b43eb49c2270f9321adf98483f5e7c3556fb6e4f820402d89
ssdeep: 768:T9sf9zPhE7nTWJpsHGGshNdzM3jCUlU1xyOac/z:+1aT+Gs7diCUlUTacb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x27e8
timedatestamp.....: 0x388815b7 (Fri Jan 21 08:15:51 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x54c1 0x6000 5.64 8f20bb00747b3b34acbc424a351f0f47
.data 0x7000 0x504 0x1000 1.68 94b1d9f1c3986be28677bb790edd5eea
.rsrc 0x8000 0x7b18 0x8000 3.65 6476d5097b0f8d36025abd637e2095ba

( 5 imports )
> ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA
> GDI32.dll: CreateFontIndirectA, SelectPalette, RealizePalette, DeleteObject, GetCharWidth32A, SelectObject, GetStockObject, GetTextExtentPointW, GetDeviceCaps
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, ExitProcess, IsDBCSLeadByte, GetCommandLineA, GetLastError, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, GlobalDeleteAtom, GlobalAddAtomA, GetACP, CreateProcessA, InterlockedIncrement, InterlockedDecrement, MulDiv, DeleteFileA, MultiByteToWideChar, GetTempFileNameA, GetTempPathA, CloseHandle, CreateMutexA, SetLastError, GetCurrentDirectoryA, SetCurrentDirectoryA, Sleep, WinExec, GetVersion, GlobalHandle, GlobalSize, lstrcatA, lstrcpyA, FindClose, FindFirstFileA, ReadFile, OpenFile, GetProcAddress, LoadLibraryA
> ole32.dll: OleInitialize, StgCreateDocfile, CreateFileMoniker, GetRunningObjectTable, CoRegisterClassObject, RegisterDragDrop, RevokeDragDrop, CoUninitialize, OleUninitialize, CoRevokeClassObject, CoInitialize
> USER32.dll: DdeInitializeA, DdeCreateStringHandleA, DefWindowProcA, ReuseDDElParam, DdeConnect, DdeQueryConvInfo, DdeFreeStringHandle, DdeClientTransaction, DdeDisconnect, DdeUninitialize, MessageBeep, DispatchMessageA, TranslateMessage, GetMessageA, DestroyWindow, FreeDDElParam, UnpackDDElParam, PostMessageA, PackDDElParam, SendMessageA, DrawMenuBar, DeleteMenu, GetMenuItemCount, GetSystemMenu, CreateWindowExA, GetSystemMetrics, FindWindowA, RegisterClassExA, EnumWindows, MessageBoxA, SetFocus, PostQuitMessage, ReleaseDC, GetDC, WinHelpA, GetActiveWindow, EnableWindow, GetClassNameA, GetWindowThreadProcessId, SetForegroundWindow, SetActiveWindow, GetParent, UnregisterClassA, RegisterClassA, ShowWindow, IsIconic, GetDesktopWindow, SystemParametersInfoA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright(c) Microsoft Corporation 1994-1999. All rights reserved.
product......: Microsoft Office 2000
description..: Microsoft Office 2000 component
original name: Osa.Exe
internal name: Osa
file version.: 9.0.3720
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Submit your sample lade die Datei, die McAfee bemängelt mal hier hoch (Verdächtige Datei).

Bin mal 30 Minuten weg.

Bis gleich

ok bin gespannt.

Japp avira wird dir spätestens Morgen eine Antwort zusenden, die würde ich gerne reingepostet bekommen


Machen wir mal weiter.....


Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

aspersky
Online Scanner

Tut uns leid! Der Kaspersky Online Scanner wird gerade überarbeitet und ist deshalb nicht verfügbar. In Kürze wird er mit vielen Detail-Verbesserungen wieder online gehen.



Ich kann aber meinen auf dem PC installierten Kaspersky 2010 scannen lassen

Es gibt aber den Kaspersky (Online-) File-Scanner. Der sagt folgendes:

Zu überprüfende Datei: OSA9.EXE
Bekannte Viren: 3096805 Updated: 28-10-2009
Größe der Datei (Kb): 65 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Hier die Log-Datei meines Scans mit Kaspersky 2010:


Status: Verdächtig (Ereignisse: 6)
27.10.2009 23:08:01 Verdächtig legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.DNS Query C:\PROGRAMME\CA\ETRUST ANTIVIRUS\REGISTER.EXE Niedrig
27.10.2009 23:08:03 Verdächtig legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.Keylogger C:\PROGRAMME\HOME CINEMA\POWERCINEMA\PCMSERVICE.EXE Mittel
27.10.2009 23:08:03 Verdächtig legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.Invader (loader) C:\PROGRAMME\HOME CINEMA\POWERCINEMA\PCMSERVICE.EXE Niedrig
28.10.2009 12:11:54 Verdächtig legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.Keylogger C:\PROGRAMME\EA GAMES\BATTLEFIELD 1942\BF1942.EXE Mittel
28.10.2009 12:14:21 Verdächtig legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.Invader (loader) C:\PROGRAMME\EA GAMES\BATTLEFIELD 1942\BF1942.EXE Niedrig
28.10.2009 12:46:17 Verdächtig legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.DNS Query C:\PROGRAMME\EA GAMES\BATTLEFIELD 1942\BF1942.EXE Niedrig
Status: Gelöscht (Ereignisse: 2)
28.10.2009 22:01:36 Gelöscht trojanisches Programm Packed.Win32.Krap.ag C:\Dokumente und Einstellungen\fritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJ3JPTTM\50549[1].exe Hoch
28.10.2009 22:25:53 Gelöscht trojanisches Programm Trojan-Downloader.Win32.Agent.akfv K:\Programme\WLInstaller.exe Hoch

Hallo,
wir sind auch mit dem WSD infiziert. Kann mir jemand erklären wie ich in den Taskmanager komme, damit ich zumindest dass Programm beenden kann?

Bitte noch Panda Active Scan....


@zuckerl20 Bitte eröffne ein eigenes Thema zu deinem Problem, so bewahrt es die Übersicht.

Hier die Logdatei von Activescan



****************************************************************************************************************************************************** *****************************
ANALYSIS: 2009-10-29 14:38:30
PROTECTIONS: 2
MALWARE: 5
SUSPECTS: 3
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Windows System Defender <NULL> Yes Yes
Kaspersky Anti-Virus 9.0.0.736 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\fritz\cookies\fritz@atdmt[2].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No c:\dokumente und einstellungen\fritz\cookies\fritz@adverserve[2].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\dokumente und einstellungen\fritz\cookies\fritz@com[1].txt
00199984 Cookie/Searchportal TrackingCookie No 0 Yes No c:\dokumente und einstellungen\fritz\cookies\fritz@searchportal.information[1].txt
03587590 Adware/Yassist Adware No 0 No No k:\programme\divxinstaller.exe[²çç\y_toolbar.exe][²èç]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No d:\recycler\s-1-5-21-2116086603-327850895-1388010298-1007\dd25.exe
No d:\recycler\s-1-5-21-2116086603-327850895-1388010298-1007\dd26.exe
No d:\recycler\s-1-5-21-2116086603-327850895-1388010298-1007\dd27.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Das war Panda Active Scan.

Ahhhh, jesses bist zu schnell für mich


Alles was Panda bemängelte löschen.

Kaspersky Scan über Online oder mit AVP?

Kaspersky online funzt zur Zeit nicht, ist vom Netz genommen. Der Log ist mit dem frisch installierten Kasp 9 erstellt

Dann lösche diese Objekte die Kasper fand.

http://www.trojaner-board.de/59299-a...eb-cureit.html

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.