Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: HEUR/HTML.Malware

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.11.2009, 13:53   #1
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Seit gestern, es hatte eine Freundin von mir nach Notebooks geschaut, erhalte ich alle 5sec. die Antivir Fehlermeldung über obige Signatur.

Verdammt ärgerlich, es sind wichtige Daten meiner Firma auf dem Rechner, hoffentlich passiert damit nichts.

Antivir läuft grad, und ich hab die Datei schon an Antivir geschickt.
Gegooglet hab ich auch schon, wurde daraus aber nicht so recht schlau, und vor allem, das Problem besteht ja weiterhin. Echt nervig, die permanenten Warnmeldungen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:17, on 17.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1351351
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.focus.de
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\RunOnce: [ICQ6setup] cmd.exe /c rmdir /S /Q "C:\Programme\ICQ6.5"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5000C342-D8AD-4BD2-AE71-0FD59B2AE313}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 9562 bytes



Hoffe, Ihr könnt mir helfen, kann am PC nicht mehr arbeiten, sobald er online ist.

Alt 17.11.2009, 14:19   #2
Chris4You
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Hi,

das HJ-Log gibt nicht allzuviel her, daher:

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1351351
R3 - URLSearchHook: (no name) - - (no file)
         
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris
__________________

__________________

Alt 17.11.2009, 16:19   #3
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Habe ich Dich richtig verstanden?

Scannen, dann R0 .... und R3 markieren.... fixed check.
Neustart.
__________________

Alt 17.11.2009, 16:29   #4
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Dies auch durchführen?


Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Alt 17.11.2009, 16:59   #5
Chris4You
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Hi,

ja, nur die zwei markieren, fix drücken und das wars....
Code:
ATTFilter
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
         
Den Rest unbedingt auch durchführen, das alleine wird es nicht gewesen sein...

Wo findet Avira den Schädling...?

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 17.11.2009, 17:14   #6
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Im Systemcheck findet Avira nix.
Der Guard findet die Warnung unter:

D:\Dokumente und Einstellungen\Anwendungsdaten\Moziall\Firefox\Profiles\jfd9qyfn.default\sessionstore-1.js

Das alles puuh, keine Ahnunh von der Materie, aber ich folge den Anweisungen.

Alt 17.11.2009, 21:52   #7
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-17 21:50:52
Windows 5.1.2600 Service Pack 3
Running: xju3b5rw.exe; Driver: D:\DOKUME~1\Godrik\LOKALE~1\Temp\pxldapod.sys


---- System - GMER 1.0.15 ----

SSDT BA7EFEEE ZwCreateKey
SSDT BA7EFEE4 ZwCreateThread
SSDT BA7EFEF3 ZwDeleteKey
SSDT BA7EFEFD ZwDeleteValueKey
SSDT spdp.sys ZwEnumerateKey [0xB9EC8CA2]
SSDT spdp.sys ZwEnumerateValueKey [0xB9EC9030]
SSDT BA7EFF02 ZwLoadKey
SSDT spdp.sys ZwOpenKey [0xB9EAB0C0]
SSDT BA7EFED0 ZwOpenProcess
SSDT BA7EFED5 ZwOpenThread
SSDT spdp.sys ZwQueryKey [0xB9EC9108]
SSDT spdp.sys ZwQueryValueKey [0xB9EC8F88]
SSDT BA7EFF0C ZwReplaceKey
SSDT BA7EFF07 ZwRestoreKey
SSDT BA7EFEF8 ZwSetValueKey
SSDT BA7EFEDF ZwTerminateProcess

INT 0x62 ? 8A5CFBF8
INT 0x73 ? 8A25DF00
INT 0x73 ? 8A25DF00
INT 0x82 ? 8A5CFBF8
INT 0x83 ? 8A25DF00
INT 0xA4 ? 8A25DF00
INT 0xB4 ? 8A25DF00

---- Kernel code sections - GMER 1.0.15 ----

? spdp.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B8DEB8AC 5 Bytes JMP 8A25D4E0

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spdp.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spdp.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spdp.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spdp.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spdp.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spdp.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A54C1F8
Device \FileSystem\Fastfat \FatCdrom 8A282500
Device \FileSystem\Udfs \UdfsCdRom 8A3FB1F8
Device \FileSystem\Udfs \UdfsDisk 8A3FB1F8
Device \Driver\usbuhci \Device\USBPDO-0 8A240500
Device \Driver\usbuhci \Device\USBPDO-1 8A240500
Device \Driver\usbuhci \Device\USBPDO-2 8A240500
Device \Driver\usbuhci \Device\USBPDO-3 8A240500
Device \Driver\usbehci \Device\USBPDO-4 8A244500

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5D01F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A5D01F8
Device \Driver\Cdrom \Device\CdRom0 8A209500
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A5D01F8
Device \Driver\Cdrom \Device\CdRom1 8A209500
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [B9E24B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\USBSTOR \Device\000000a6 8A37B500
Device \Driver\USBSTOR \Device\000000a8 8A37B500
Device \Driver\USBSTOR \Device\000000a9 8A37B500
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A418500
Device \Driver\NetBT \Device\NetbiosSmb 8A418500
Device \Driver\USBSTOR \Device\000000ab 8A37B500
Device \Driver\usbuhci \Device\USBFDO-0 8A240500
Device \Driver\usbuhci \Device\USBFDO-1 8A240500
Device \Driver\NetBT \Device\NetBT_Tcpip_{F84CEDA2-7822-4274-9486-5B6F559FC1F8} 8A418500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A3981F8
Device \Driver\usbuhci \Device\USBFDO-2 8A240500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A3981F8
Device \Driver\usbuhci \Device\USBFDO-3 8A240500
Device \Driver\usbehci \Device\USBFDO-4 8A244500
Device \Driver\Ftdisk \Device\FtControl 8A5D01F8
Device \FileSystem\Fastfat \Fat 8A282500

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

---- EOF - GMER 1.0.15 ----

Alt 17.11.2009, 21:56   #8
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



RSIT Log ist zu lang, hat über 36000 Zeichen.
Was nun damit?

Alt 17.11.2009, 23:28   #9
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3189
Windows 5.1.2600 Service Pack 3

17.11.2009 23:25:59
mbam-log-2009-11-17 (23-25-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 264482
Laufzeit: 52 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 18.11.2009, 07:45   #10
Chris4You
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Hi,

poste bitte das RSIT log wie folgt:
Fileuplod:
http://www.file-upload.net/, Logfile hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

So, es hat sich was in die atapi.sys eingehängt, das müssen wir prüfen:

Bitte die atapi.sys suchen, bei einer normalen Installation
ist sie wie folgt zu finden:
Code:
ATTFilter
c:\windows\system32\drivers\atapi.sys
         
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\drivers\atapi.sys
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Bei der von Avira angemoserten Datei handelt es sich um javascript, daher:
Firefox:
Arbeite alles was unter dem Link angegeben ist ab und
berichte dann im Thread!
Erstmal keine PlugIns installieren und das gemachte
Backup von Firefox nicht einspielen.
http://www.trojaner-board.de/411645-post19.html

Bitte dann das NoScript-Plugin installieren:
http://filepony.de/download-noscript/

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 18.11.2009, 12:18   #11
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.18 -
AhnLab-V3 5.0.0.2 2009.11.17 -
AntiVir 7.9.1.70 2009.11.18 -
Antiy-AVL 2.0.3.7 2009.11.18 -
Authentium 5.2.0.5 2009.11.18 -
Avast 4.8.1351.0 2009.11.18 -
AVG 8.5.0.425 2009.11.18 -
BitDefender 7.2 2009.11.18 -
CAT-QuickHeal 10.00 2009.11.17 -
ClamAV 0.94.1 2009.11.18 -
Comodo 2972 2009.11.18 -
DrWeb 5.0.0.12182 2009.11.18 -
eSafe 7.0.17.0 2009.11.17 Win32.Rootkit
eTrust-Vet 35.1.7127 2009.11.18 -
F-Prot 4.5.1.85 2009.11.17 -
F-Secure 9.0.15370.0 2009.11.17 -
Fortinet 3.120.0.0 2009.11.18 -
GData 19 2009.11.18 -
Ikarus T3.1.1.74.0 2009.11.18 -
Jiangmin 11.0.800 2009.11.18 -
K7AntiVirus 7.10.898 2009.11.17 -
Kaspersky 7.0.0.125 2009.11.18 -
McAfee 5805 2009.11.17 -
McAfee+Artemis 5805 2009.11.17 -
McAfee-GW-Edition 6.8.5 2009.11.18 Heuristic.BehavesLike.Win32.Rootkit.H
Microsoft 1.5202 2009.11.18 -
NOD32 4617 2009.11.18 -
Norman 6.03.02 2009.11.18 -
nProtect 2009.1.8.0 2009.11.18 -
Panda 10.0.2.2 2009.11.17 -
PCTools 7.0.3.5 2009.11.18 -
Prevx 3.0 2009.11.18 -
Rising 22.22.02.07 2009.11.18 -
Sophos 4.47.0 2009.11.18 -
Sunbelt 3.2.1858.2 2009.11.17 -
Symantec 1.4.4.12 2009.11.18 -
TheHacker 6.5.0.2.072 2009.11.18 -
TrendMicro 9.0.0.1003 2009.11.18 -
VBA32 3.12.12.0 2009.11.18 -
ViRobot 2009.11.18.2043 2009.11.18 -
VirusBuster 5.0.21.0 2009.11.17 -
weitere Informationen
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Alt 18.11.2009, 12:22   #12
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Meine Herren, ist das viel.
Blick da kaum noch durch.

Dennoch tausend Dank für die Hilfe Chris.

Was Du unten geschrieben hast,
"Bei der von Avira angemoserten Datei handelt es sich um javascript, daher:
Firefox:
Arbeite alles was unter dem Link angegeben ist ab und
berichte dann im Thread!
Erstmal keine PlugIns installieren und das gemachte
Backup von Firefox nicht einspielen.
http://www.trojaner-board.de/411645-post19.html",

bzieht sich das auf Mozbackup und Regseeker, also den eine Zeile drüber befindlichen Link.


Sorry, will nichts falsch machen.

Systemdateien versteckt ich mal wieder, ne?

Alt 18.11.2009, 13:27   #13
Chris4You
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Hi,

Du kannst die Einstellungen für den Explorer wieder zurückdrehen (ausblenden ovn Systemdateien etc.).
Nicht über die Systemwiederherstellungen gehen, sondern da, wo Du sie geändert hast (Systemeinstellungen s. u.)

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico
D:\Dokumente und Einstellungen\Godrik\Lokale Einstellungen\Temp\~os1F.tmp\ossproxy.exe
C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys
C:\WINDOWS\system32\drivers\Nsynas32.sys
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Der atapi.sys müssen wir noch mal auf den Zahn fühlen:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 18.11.2009, 14:00   #14
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Datei Icon3E5562ED7.ico empfangen 2009.11.18 12:55:34 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.18 -
AhnLab-V3 5.0.0.2 2009.11.17 -
AntiVir 7.9.1.70 2009.11.18 -
Antiy-AVL 2.0.3.7 2009.11.18 -
Authentium 5.2.0.5 2009.11.18 -
Avast 4.8.1351.0 2009.11.18 -
AVG 8.5.0.425 2009.11.18 -
BitDefender 7.2 2009.11.18 -
CAT-QuickHeal 10.00 2009.11.17 -
ClamAV 0.94.1 2009.11.18 -
Comodo 2977 2009.11.18 -
DrWeb 5.0.0.12182 2009.11.18 -
eSafe 7.0.17.0 2009.11.18 -
eTrust-Vet 35.1.7127 2009.11.18 -
F-Prot 4.5.1.85 2009.11.17 -
F-Secure 9.0.15370.0 2009.11.17 -
Fortinet 3.120.0.0 2009.11.18 -
GData 19 2009.11.18 -
Ikarus T3.1.1.74.0 2009.11.18 -
Jiangmin 11.0.800 2009.11.18 -
K7AntiVirus 7.10.898 2009.11.17 -
Kaspersky 7.0.0.125 2009.11.18 -
McAfee 5805 2009.11.17 -
McAfee+Artemis 5805 2009.11.17 -
McAfee-GW-Edition 6.8.5 2009.11.18 -
Microsoft 1.5202 2009.11.18 -
NOD32 4617 2009.11.18 -
Norman 6.03.02 2009.11.18 -
nProtect 2009.1.8.0 2009.11.18 -
Panda 10.0.2.2 2009.11.17 -
PCTools 7.0.3.5 2009.11.18 -
Prevx 3.0 2009.11.18 -
Rising 22.22.02.08 2009.11.18 -
Sophos 4.47.0 2009.11.18 -
Sunbelt 3.2.1858.2 2009.11.17 -
Symantec 1.4.4.12 2009.11.18 -
TheHacker 6.5.0.2.072 2009.11.18 -
TrendMicro 9.0.0.1003 2009.11.18 -
VBA32 3.12.12.0 2009.11.18 -
ViRobot 2009.11.18.2043 2009.11.18 -
VirusBuster 5.0.21.0 2009.11.17 -
weitere Informationen
File size: 6144 bytes
MD5...: 85ab6c3089bee58999b434e114e8a64c
SHA1..: f480a5c7f587edcc3bfc86524dbab551d50306f6
SHA256: 7a1b4cbb5559e30fe23d3815b82079e237f58813ee7eeddc98c663c0149cb8bb
ssdeep: 48:6QacmvI2pK4xVR6sEZhcswU78xuabGcwU78xuabGk:8Q2U4xKFhx8xLqC8xLq
k
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x33fdb6ae (Fri Aug 22 15:56:30 1997)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5 0x200 0.08 5e3004258b537e9a4d9e5dc688181906
.rdata 0x2000 0x35 0x200 0.47 1a9eeeda4bd420676a74ba7e077a88fb
.rsrc 0x3000 0xd24 0xe00 3.59 8fb56e64407379ebe861ef7dd74106ce
.reloc 0x4000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ 4.x (95.6%)
Win16/32 Executable Delphi generic (1.4%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
VXD Driver (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Alt 18.11.2009, 14:07   #15
Christini82
 
HEUR/HTML.Malware - Standard

HEUR/HTML.Malware



Datei fssfltr_tdi.sys empfangen 2009.11.18 13:04:56 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 8.
Geschätzte Startzeit ist zwischen 110 und 157 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.18 -
AhnLab-V3 5.0.0.2 2009.11.17 -
AntiVir 7.9.1.70 2009.11.18 -
Antiy-AVL 2.0.3.7 2009.11.18 -
Authentium 5.2.0.5 2009.11.18 -
Avast 4.8.1351.0 2009.11.18 -
AVG 8.5.0.425 2009.11.18 -
BitDefender 7.2 2009.11.18 -
CAT-QuickHeal 10.00 2009.11.17 -
ClamAV 0.94.1 2009.11.18 -
Comodo 2977 2009.11.18 -
DrWeb 5.0.0.12182 2009.11.18 -
eSafe 7.0.17.0 2009.11.18 -
eTrust-Vet 35.1.7127 2009.11.18 -
F-Prot 4.5.1.85 2009.11.17 -
F-Secure 9.0.15370.0 2009.11.17 -
Fortinet 3.120.0.0 2009.11.18 -
GData 19 2009.11.18 -
Ikarus T3.1.1.74.0 2009.11.18 -
Jiangmin 11.0.800 2009.11.18 -
K7AntiVirus 7.10.898 2009.11.17 -
Kaspersky 7.0.0.125 2009.11.18 -
McAfee 5805 2009.11.17 -
McAfee+Artemis 5805 2009.11.17 -
McAfee-GW-Edition 6.8.5 2009.11.18 -
Microsoft 1.5202 2009.11.18 -
NOD32 4617 2009.11.18 -
Norman 6.03.02 2009.11.18 -
nProtect 2009.1.8.0 2009.11.18 -
Panda 10.0.2.2 2009.11.17 -
PCTools 7.0.3.5 2009.11.18 -
Prevx 3.0 2009.11.18 -
Rising 22.22.02.08 2009.11.18 -
Sophos 4.47.0 2009.11.18 -
Sunbelt 3.2.1858.2 2009.11.17 -
Symantec 1.4.4.12 2009.11.18 -
TheHacker 6.5.0.2.072 2009.11.18 -
TrendMicro 9.0.0.1003 2009.11.18 -
VBA32 3.12.12.0 2009.11.18 -
ViRobot 2009.11.18.2043 2009.11.18 -
VirusBuster 5.0.21.0 2009.11.17 -
weitere Informationen
File size: 55152 bytes
MD5...: 960f5e5e4e1f720465311ac68a99c2df
SHA1..: ba51b9a230e21f4c2cfa84b7ba02b7f4cb3f6c10
SHA256: f52e2fb00ca71bb414d97e16be7a65e90e813d73ea0d303dc9af93bfef9f8ade
ssdeep: 768:7iHp1w39JVAaC1H9xllMGCaaakgTc+f1OwAFFyYPcXOtsqsj/c/iR1jIte:7
iJwJJC1TiyktGzR1Ete
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9771
timedatestamp.....: 0x498ce6d9 (Sat Feb 07 01:41:45 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x5b29 0x5b80 6.51 b4f32d1ae46ab4d378c2a9cfee6e8131
.rdata 0x6000 0xa4d 0xa80 4.78 d5d8209d95329664d252f20353b12b5c
.data 0x6a80 0x670 0x680 0.81 e433486359db396673d38c0fab01ce11
PAGE 0x7100 0x245a 0x2480 6.37 7582a460e28b4605c52202b88a09a721
INIT 0x9580 0x13e4 0x1400 6.23 7db9c10176363063c39bedd226c41561
.rsrc 0xa980 0x918 0x980 5.97 945ed6f7dca17932006587435d7072b1
.reloc 0xb300 0x88a 0x900 6.16 3ef017f43b85a37b21dd8a8591fa9da5

( 4 imports )
> ntoskrnl.exe: MmMapLockedPagesSpecifyCache, IoCsqRemoveNextIrp, IoSetCompletionRoutineEx, MmBuildMdlForNonPagedPool, IoAllocateMdl, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, RtlCompareMemory, RtlInitString, IoFreeMdl, ObfDereferenceObject, IoDeleteDevice, IoDetachDevice, InterlockedPopEntrySList, InterlockedPushEntrySList, ObReferenceObjectByHandle, IoFileObjectType, IoAttachDeviceToDeviceStackSafe, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoCsqInsertIrp, KeTickCount, KeBugCheckEx, IofCallDriver, IoGetRequestorProcessId, SeQueryInformationToken, memcpy, RtlLengthSid, RtlInitializeGenericTableAvl, ExFreePoolWithTag, ExAllocatePoolWithTag, RtlLookupElementGenericTableAvl, IofCompleteRequest, KeSetTimer, KeCancelTimer, KeInsertQueueDpc, KeInitializeTimer, KeInitializeDpc, IoDeleteSymbolicLink, IoWMIRegistrationControl, RtlValidSid, IoCreateSymbolicLink, RtlCopyUnicodeString, IoWMIWriteEvent, MmGetSystemRoutineAddress, IoCsqInitialize, ExAllocatePool, RtlDeleteElementGenericTableAvl, RtlLookupElementGenericTableFullAvl, RtlInsertElementGenericTableFullAvl, memset, IoCreateDevice, ZwClose, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, _wcsnicmp, RtlAddAccessAllowedAce, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString
> HAL.dll: KeAcquireInStackQueuedSpinLock, KfReleaseSpinLock, KfAcquireSpinLock, KeReleaseInStackQueuedSpinLock
> TDI.SYS: TdiMapUserRequest, TdiDefaultChainedRcvExpeditedHandler, TdiDefaultChainedReceiveHandler, TdiDefaultRcvExpeditedHandler, TdiDefaultReceiveHandler
> WMILIB.SYS: WmiCompleteRequest, WmiSystemControl

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Family Safety Filter Driver (TDI)
description..: Family Safety Filter Driver (TDI)
original name: fssfltr_tdi.sys
internal name: fssfltr_tdi.sys
file version.: 14.0.8064.0206
comments.....: n/a
signers......: Microsoft Corporation
Microsoft Code Signing PCA
Microsoft Root Authority
signing date.: 3:08 AM 2/7/2009
verified.....: -

Antwort

Themen zu HEUR/HTML.Malware
.com, adobe, antivir, antivir guard, avira, desktop, explorer, fehlermeldung, firefox, generic, heur/html.malware, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, malwarebytes anti-malware, malwarebytes' anti-malware, mozilla, plug-in, problem, programme, realtek, senden, softonic, softonic deutsch toolbar, software, system, wichtige daten, windows, windows xp



Ähnliche Themen: HEUR/HTML.Malware


  1. AntiVir hat Malware gefunden; HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (3)
  2. Malware Trace, HEUR/HTML.Malware
    Log-Analyse und Auswertung - 02.12.2011 (30)
  3. HEUR/HTML.Malware - Heuristic
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (14)
  4. HEUR/HTML.Malware von AV bei IE
    Plagegeister aller Art und deren Bekämpfung - 08.07.2010 (1)
  5. TR/Agent.AR,TR/Click.Klik,HEUR/HTML.Malware,HTML/Crypted.Gen, dwwin.exe, drwtsu32.exe
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (1)
  6. werde Malware nicht los z.B. HEUR/HTML.Malware [heuristic
    Log-Analyse und Auswertung - 31.03.2010 (10)
  7. Malware Problem HEUR/HTML.Malware
    Log-Analyse und Auswertung - 29.03.2010 (1)
  8. heur/html.malware
    Plagegeister aller Art und deren Bekämpfung - 05.08.2009 (1)
  9. TR/Rootkit.Gen & HTML/Infected.WebPage.Gen' & HEUR/HTML.Malware gefunden
    Log-Analyse und Auswertung - 25.06.2009 (31)
  10. EXP/ASF.GetCodec.Gen,HEUR/HTML.Malware,TR/Dropper.Gen,HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 10.04.2009 (17)
  11. HEUR/HTML.Malware - Heuristic
    Log-Analyse und Auswertung - 07.04.2009 (2)
  12. HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 19.01.2009 (1)
  13. HEUR.HTML/Malware
    Mülltonne - 15.12.2008 (0)
  14. HEUR/HTML.Malware
    Mülltonne - 10.12.2008 (2)
  15. HEUR/HTML Malware, .vbs ????
    Plagegeister aller Art und deren Bekämpfung - 22.06.2008 (4)
  16. Heur/HTML Malware
    Log-Analyse und Auswertung - 28.05.2008 (12)
  17. Heur/Malware.html Gefunden?!
    Plagegeister aller Art und deren Bekämpfung - 27.04.2008 (7)

Zum Thema HEUR/HTML.Malware - Seit gestern, es hatte eine Freundin von mir nach Notebooks geschaut, erhalte ich alle 5sec. die Antivir Fehlermeldung über obige Signatur. Verdammt ärgerlich, es sind wichtige Daten meiner Firma auf - HEUR/HTML.Malware...
Archiv
Du betrachtest: HEUR/HTML.Malware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.