Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Plagegeister aller Art und deren Bekämpfung: AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 3 1 2 3
Alt 06.08.2010, 11:20   #16
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


okay, lass bitte Combofix im abgesicherten Modus laufen.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 06.08.2010, 11:38   #17
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


habe Combofix im Abgesicherten Modus ausgeführt. Combofix wollte einen Neustart machen, hat dies auch getan, nur komme ich jetzt nicht mehr ins System. Weder in den Abgesicherten Modus noch in den normalen Modus. Ich bekomme jetzt beim starten jedesmal einen Bluescreen mit einer Stop Fehlermeldung. und einem Verweis auf die dmio.sys
__________________
Alt 06.08.2010, 11:39   #18
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Möglich eine CD zu brennen ?
__________________
__________________
Alt 06.08.2010, 11:44   #19
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Ja, habe einen 2. Rechner zur Verfügung mit einem Brenner.

Alt 06.08.2010, 12:27   #20
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
    Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Poste mir bitte ausserdem den Fehlercode wenn Du den Rechner startest

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 06.08.2010, 13:51   #21
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Hallo,
Habe die CD erstellt, habe von ihr gebootet und habe OTL ausgefuehrt.
Beim starten von OTL wurde die Registrz Abfrage nicht gestellt nur die die beiden Userprofile Abfragen kamen. Habe OTL ausgefuehrt indem ich auf Run Scan geklickt habe. Nach Abschluss des Scans wurde nur eine OTL.txt erstellt.
Deren Inhalt ist folgender.

file created on: 8/6/2010 4:40:20 PM - Run
OTLPE by OldTimer - Version 3.1.40.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 92.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 30.00 Gb Total Space | 12.68 Gb Free Space | 42.29% Space Free | Partition Type: NTFS
Drive D: | 30.00 Gb Total Space | 25.98 Gb Free Space | 86.61% Space Free | Partition Type: NTFS
Drive E: | 1337.26 Gb Total Space | 526.50 Gb Free Space | 39.37% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 433.24 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet002

color=#E5671========== Win32 Services (SafeList) ==========color

SRV - [2009/01/07 17:17:44 | 000,188,416 | ---- | M] (Team MediaPortal) [Auto] -- D:\MediaPortal TV Server\TVService.exe -- (TVService)
SRV - [2008/11/25 02:31:10 | 029,263,712 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -- (MSSQL$SQLEXPRESS) SQL Server (SQLEXPRESS)
SRV - [2008/11/25 02:31:07 | 000,239,968 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe -- (SQLBrowser)
SRV - [2008/11/25 02:31:07 | 000,045,408 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe -- (MSSQLServerADHelper)
SRV - [2008/11/24 16:31:12 | 000,087,904 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter)
SRV - [2008/10/20 16:18:26 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2008/05/01 20:42:06 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2007/07/24 05:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
SRV - [2007/01/04 13:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto] -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)


color=#E56717========== Driver Services (SafeList) ==========color

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - File not found [Kernel | On_Demand] -- C:\DOKUME~1\MPMEDI~1.000\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - [2009/11/04 12:15:30 | 004,423,168 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009/10/12 15:24:56 | 000,007,408 | R--- | M] ( SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | On_Demand] -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS -- (SASENUM)
DRV - [2009/10/12 15:24:54 | 000,009,968 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2009/10/12 15:24:52 | 000,074,480 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2009/08/19 08:05:56 | 000,100,368 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2009/08/16 16:09:12 | 000,003,026 | ---- | M] (Logix4u) [Kernel | System] -- C:\WINDOWS\system32\drivers\hwinterface.sys -- (hwinterface)
DRV - [2009/08/16 13:19:47 | 000,721,904 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008/09/01 13:44:26 | 001,983,424 | ---- | M] (C-Media Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmudaxp.sys -- (cmudaxp)
DRV - [2008/04/14 01:28:20 | 000,154,112 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\dmio.sys -- (dmio)
DRV - [2008/04/13 18:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2008/04/13 16:06:06 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008/02/28 21:13:36 | 000,079,120 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE)
DRV - [2008/02/28 21:13:24 | 000,036,880 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2008/02/28 21:13:16 | 000,035,344 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2008/02/28 21:12:56 | 000,063,120 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\L8042mou.Sys -- (L8042mou)
DRV - [2008/02/28 21:12:48 | 000,020,240 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\L8042Kbd.sys -- (L8042Kbd)
DRV - [2008/02/18 08:39:53 | 000,253,968 | R--- | M] (TechniSat Provide) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MtsBda.sys -- (MTSBDA)
DRV - [2008/02/18 08:39:53 | 000,023,568 | R--- | M] (TechniSat Provide) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MtsHID.sys -- (MtsHID)
DRV - [2008/01/03 10:10:16 | 000,105,856 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007/10/11 21:40:12 | 000,009,096 | ---- | M] (Advanced Micro Devices) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\amdide.sys -- (amdide)
DRV - [2007/06/29 08:47:34 | 000,034,304 | ---- | M] (AMD, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AmdLLD.sys -- (AmdLLD)
DRV - [2007/04/17 14:09:28 | 000,011,032 | ---- | M] (InterVideo) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\regi.sys -- (regi)
DRV - [2006/07/01 17:30:28 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005/09/20 11:27:20 | 000,010,368 | ---- | M] (InterVideo, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\iviaspi.sys -- (Iviaspi)
DRV - [2004/12/22 09:51:06 | 000,018,090 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\iMON_PAD.sys -- (SGIR)
DRV - [2003/12/30 17:28:50 | 000,045,060 | ---- | M] (TG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TG_iMON.sys -- (SGHIDI)


color=#E56717========== Standard Registry (SafeList) ==========color


color=#E56717========== Internet Explorer ==========color

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\MP.MEDIAPC.000_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\systemprofile_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Programme\Real\RealPlayer\browserrecord [2009/08/16 13:16:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009/09/24 06:06:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/08/01 16:05:57 | 000,000,000 | ---D | M]

[2010/08/03 07:09:11 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010/08/01 16:05:59 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010/08/01 16:05:46 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2009/08/24 15:25:19 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009/08/24 15:25:19 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009/08/24 15:25:19 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009/08/24 15:25:19 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009/08/24 15:25:19 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010/08/05 06:40:54 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O4 - HKLM..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe (AMD)
O4 - HKLM..\Run: [BDRegion] C:\Programme\CyberLink\Shared files\brs.exe (cyberlink)
O4 - HKLM..\Run: [Cmaudio8788GX] C:\WINDOWS\system\HsMgr.exe ()
O4 - HKLM..\Run: [combofix] C:\Combo\CF13435.cfx File not found
O4 - HKLM..\Run: [iMON] C:\Programme\SOUNDGRAPH\iMON\iMON.exe (SoundGraph, Inc.)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKU\MP.MEDIAPC.000_ON_C..\Run: [Sgoqisukinasule] C:\WINDOWS\dftsonp.DLL (MaresWEB)
O4 - HKLM..\RunOnce: [combofix] C:\Combo\CF13435.cfx File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\MP.MEDIAPC\Startmenü\Programme\Autostart\Logitech . Produktregistrierung.lnk = C:\Programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe (Leader Technologies/Logitech)
O4 - Startup: C:\Dokumente und Einstellungen\MP.MEDIAPC\Startmenü\Programme\Autostart\SkystarIR.lnk = C:\Programme\DVBViewer TE2\SkystarIR.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Startmenü\Programme\Autostart\Verknüpfung mit SkystarIR.exe.lnk = C:\Programme\DVBViewer TE2\SkystarIR.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\LocalService.NT-AUTORITÄT.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\MP.MEDIAPC.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\MP.MEDIAPC.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\MP.MEDIAPC.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\NetworkService.NT-AUTORITÄT.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250436985359 (WUWebControl Class)
O16 - DPF: {72376E32-8AF2-473F-BE32-E5D0F39C865D} hxxp://www.cyberlink.com/prog/aacs/UpdateAdvisor.cab (CUpdateAdvisorCtrl Object)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (c:\programme\microsoft\desktoplayer.exe) - c:\Programme\Microsoft\DesktopLayer.exe (SOFTWIN S.R.L.)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/01/17 17:26:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/01/18 16:52:50 | 002,018,243 | ---- | M] () - C:\AutoHotkey104706_Install.exe -- [ NTFS ]
O32 - AutoRun File - [2009/01/18 15:56:27 | 008,352,136 | ---- | M] (AutoIt Team) - C:\autoit-v3-setup.exe -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

color=#E56717========== Files/Folders - Created Within 30 Days ==========color

[2010/08/06 06:26:52 | 000,000,000 | ---D | C] -- C:\Combo
[2010/08/06 05:11:51 | 000,059,392 | ---- | C] (SOFTWIN S.R.L.) -- C:\WINDOWS\ExplorerSrv.exe
[2010/08/05 18:15:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Identities
[2010/08/05 12:02:09 | 000,059,392 | ---- | C] (SOFTWIN S.R.L.) -- C:\WINDOWS\System32\controlSrv.exe
[2010/08/05 06:23:40 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010/08/05 06:20:20 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010/08/05 06:20:20 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010/08/05 06:20:20 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010/08/05 06:20:20 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010/08/05 05:58:50 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010/08/04 05:38:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010/08/04 05:37:23 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010/08/04 05:32:20 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2010/08/04 05:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MFTools
[2010/08/03 07:16:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia
[2010/08/03 07:16:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Adobe
[2010/08/02 11:34:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
[2010/08/02 10:38:45 | 000,000,000 | ---D | C] -- C:\Programme\TrojanHunter 5.3
[2010/08/02 10:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Real
[2010/08/02 08:06:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia
[2010/08/02 08:06:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Adobe
[2010/08/02 04:38:46 | 000,000,000 | ---D | C] -- C:\Programme\riva1
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2010/08/01 19:31:30 | 000,632,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2010/08/01 19:31:29 | 000,554,240 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2010/08/01 19:31:28 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010/08/01 19:31:27 | 000,153,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\R.COM
[2010/08/01 19:31:27 | 000,140,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\T.COM
[2010/08/01 19:31:25 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2010/08/01 18:59:20 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010/08/01 18:59:20 | 000,000,000 | ---D | C] -- C:\rsit
[2010/08/01 18:05:56 | 000,000,000 | ---D | C] -- C:\$AVG
[2010/08/01 18:05:27 | 000,000,000 | ---D | C] -- C:\Programme\AVG
[2010/08/01 16:28:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010/08/01 16:06:08 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010/08/01 16:05:57 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010/08/01 16:05:57 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010/08/01 16:05:57 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010/08/01 16:05:57 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010/08/01 16:05:57 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010/08/01 16:05:42 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010/08/01 15:18:36 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010/08/01 15:18:35 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010/08/01 15:18:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010/08/01 15:08:35 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\mbam-setup_146.exe
[2010/08/01 13:25:48 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft

color=#E56717========== Files - Modified Within 30 Days ==========color

[2010/08/06 15:28:04 | 000,233,472 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\NTUSER.DAT
[2010/08/06 06:34:44 | 000,262,144 | ---- | M] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\NTUSER.DAT
[2010/08/06 06:34:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/08/06 06:34:40 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/08/06 06:34:38 | 008,650,752 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.dat
[2010/08/06 06:34:38 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.ini
[2010/08/06 06:33:41 | 000,059,392 | ---- | M] (SOFTWIN S.R.L.) -- C:\WINDOWS\ExplorerSrv.exe
[2010/08/06 05:16:05 | 000,512,838 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010/08/06 05:16:05 | 000,494,300 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010/08/06 05:16:05 | 000,104,488 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010/08/06 05:16:05 | 000,091,138 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010/08/06 05:16:05 | 000,005,006 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010/08/06 04:56:44 | 003,815,943 | R--- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Combo.com
[2010/08/05 13:29:35 | 000,000,294 | RHS- | M] () -- C:\boot.ini
[2010/08/05 12:02:09 | 000,059,392 | ---- | M] (SOFTWIN S.R.L.) -- C:\WINDOWS\System32\controlSrv.exe
[2010/08/05 06:41:05 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010/08/05 06:40:54 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010/08/05 06:40:44 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/08/05 06:40:44 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak
[2010/08/04 12:01:53 | 000,354,304 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.exe
[2010/08/04 05:37:23 | 000,000,626 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\NTREGOPT.lnk
[2010/08/04 05:37:23 | 000,000,607 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\ERUNT.lnk
[2010/08/04 05:28:50 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Gmer.zip
[2010/08/04 05:24:44 | 000,000,430 | ---- | M] () -- C:\WINDOWS\win.ini
[2010/08/04 05:24:44 | 000,000,223 | ---- | M] () -- C:\Boot.bak
[2010/08/04 05:13:16 | 000,410,784 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Load.exe
[2010/08/04 05:06:07 | 000,141,312 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MBRCheck.exe
[2010/08/02 10:38:51 | 000,059,392 | R--- | M] () -- C:\WINDOWS\System32\streamhlp.dll
[2010/08/01 20:38:11 | 003,139,829 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\pinfect.zip
[2010/08/01 20:32:42 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2010/08/01 19:35:25 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2010/08/01 19:31:29 | 000,632,064 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2010/08/01 19:31:28 | 000,554,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2010/08/01 19:31:27 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010/08/01 19:21:28 | 001,438,780 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\avg.csv
[2010/08/01 16:05:46 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010/08/01 16:05:46 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010/08/01 16:05:46 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010/08/01 16:05:46 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010/08/01 16:05:46 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010/08/01 15:08:35 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\mbam-setup_146.exe
[2010/08/01 14:07:41 | 000,238,080 | ---- | M] () -- C:\utorrentXP.exe
[2010/08/01 13:28:59 | 000,632,320 | ---- | M] () -- C:\CDmage1-01-5.exe
[2010/07/18 16:49:25 | 000,167,424 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

color=#E56717========== Files Created - No Company Name ==========color

[2010/08/06 04:56:44 | 003,815,943 | R--- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Combo.com
[2010/08/05 06:40:45 | 000,013,646 | ---- | C] () -- C:\WINDOWS\System32\wpa.bak
[2010/08/05 06:23:44 | 000,000,223 | ---- | C] () -- C:\Boot.bak
[2010/08/05 06:23:41 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010/08/05 06:20:20 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010/08/05 06:20:20 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010/08/05 06:20:20 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010/08/05 06:20:20 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010/08/05 06:20:20 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010/08/04 05:56:03 | 000,354,304 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.exe
[2010/08/04 05:37:23 | 000,000,626 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\NTREGOPT.lnk
[2010/08/04 05:37:23 | 000,000,607 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\ERUNT.lnk
[2010/08/04 05:28:50 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Gmer.zip
[2010/08/04 05:13:15 | 000,410,784 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Load.exe
[2010/08/04 05:05:54 | 000,141,312 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MBRCheck.exe
[2010/08/02 10:38:45 | 000,059,392 | R--- | C] () -- C:\WINDOWS\System32\streamhlp.dll
[2010/08/01 20:38:11 | 003,139,829 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\pinfect.zip
[2010/08/01 20:32:42 | 000,000,000 | ---- | C] () -- C:\23990098.$$$
[2010/08/01 19:31:39 | 000,000,054 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2010/08/01 19:31:28 | 000,000,522 | ---- | C] () -- C:\WINDOWS\System32\Microsoft.VC80.CRT.manifest
[2010/08/01 18:49:15 | 001,438,780 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\avg.csv
[2010/03/01 16:51:29 | 000,018,090 | ---- | C] () -- C:\WINDOWS\System32\drivers\iMON_PAD.sys
[2009/10/15 18:58:38 | 000,000,312 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009/08/23 14:48:56 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009/08/23 12:11:00 | 000,000,164 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfl
[2009/08/23 12:10:36 | 000,003,465 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfg
[2009/08/23 12:10:26 | 000,000,522 | ---- | C] () -- C:\WINDOWS\cmudaxp.ini
[2009/08/23 09:40:22 | 008,650,752 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.dat
[2009/08/23 09:27:39 | 000,000,053 | ---- | C] () -- C:\WINDOWS\System32\cmasiop.ini
[2009/08/22 09:19:21 | 000,167,424 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/08/17 12:42:53 | 000,000,394 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\SciTE.session
[2009/08/16 15:19:48 | 000,000,215 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2009/08/16 14:51:49 | 000,000,771 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\coreavc.ini
[2009/08/16 13:29:35 | 000,819,200 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009/08/16 13:29:35 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009/08/16 13:06:43 | 000,000,090 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2009/08/16 12:17:18 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/08/16 12:00:09 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2009/08/16 11:04:15 | 000,004,721 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009/08/16 11:04:12 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009/08/16 10:52:26 | 000,060,416 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll
[2009/08/16 10:37:41 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.ini
[2009/08/16 10:37:40 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.dat.LOG
[2009/08/16 10:37:00 | 000,233,472 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\NTUSER.DAT
[2009/08/16 10:37:00 | 000,020,480 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\ntuser.dat.LOG
[2009/08/16 10:37:00 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\ntuser.ini
[2009/08/16 10:36:38 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\NTUSER.DAT
[2009/08/16 10:36:38 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\ntuser.dat.LOG
[2009/08/16 10:36:38 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\ntuser.ini
[2008/11/06 12:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008/11/06 12:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008/11/06 12:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008/11/06 12:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006/02/28 08:00:00 | 000,154,112 | ---- | C] () -- C:\WINDOWS\System32\drivers\dmio.sys

color=#E56717========== LOP Check ==========color

[2009/08/16 13:56:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Amazon
[2009/08/16 11:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\ASUS
[2010/07/11 13:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Azureus
[2010/08/01 13:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\BitTorrent
[2009/12/29 22:25:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Canneverbe_Limited
[2010/02/05 17:21:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\DAEMON Tools Lite
[2009/08/16 11:58:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Leadertech
[2009/11/29 07:10:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\OpenOffice.org
[2009/08/17 12:37:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Opera
[2010/03/02 15:27:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\SOUNDGRAPH
[2009/12/31 16:23:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Strokes 4.0
[2010/08/02 11:34:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
[2010/01/14 19:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\uTorrent

color=#E56717========== Purity Check ==========color


< End of report >
--- --- ---
--- --- ---
Geändert von ich56 (06.08.2010 um 14:06 Uhr)

Alt 06.08.2010, 15:56   #22
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


[2009/08/16 10:52:26 | 000,060,416 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll

Ist dieses Windows legal ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 06.08.2010, 15:58   #23
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Ja, dieses Windows ist Legal.
Kann dir zur Not auch nen Foto der CD posten.

Alt 06.08.2010, 16:01   #24
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Wenn ich noch ein anzeichen finde, werde ich dezent sauer.

Hast du mit dem infizierten Rechner zugriff auf das internet via OTLPE ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 06.08.2010, 16:04   #25
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Ja, habe mit dem infizierten Rechner zugriff auf das internet via OTLPE.

Alt 06.08.2010, 16:09   #26
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


sehr gut

Das vereinfacht die sache etwas.

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen
Code:
ATTFilter
C:\WINDOWS\system32\drivers\dmio.sys
C:\WINDOWS\dftsonp.DLL
C:\WINDOWS\System32\eEmpty.exe
Also gehe wie hier beschrieben vor:
  • Öffne diese Webseite: virustotal
  • Klicke auf "Durchsuchen"
  • Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
  • "Senden der Datei"
  • Warte, bis der Scandurchlauf aller Virenscanner beendet ist
  • Auf "Compact" klicken (Links oben zu finden)
  • Ein neuer Tab dürfte sich öffnen.
  • Den Inhalt komplett kopieren und hier einfügen
Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 06.08.2010, 16:24   #27
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Habe die 3 Dateien gescannt.


File dmio.sys received on 2010.08.06 15:14:07 (UTC)
Antivirus Version Last Update Result
AhnLab-V3 2010.08.06.01 2010.08.06 Backdoor/Win32.Tdss
AntiVir 8.2.4.32 2010.08.06 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.06 -
Avast 4.8.1351.0 2010.08.06 -
Avast5 5.0.332.0 2010.08.06 -
AVG 9.0.0.851 2010.08.06 -
BitDefender 7.2 2010.08.06 -
CAT-QuickHeal 11.00 2010.08.06 -
ClamAV 0.96.0.3-git 2010.08.06 -
Comodo 5667 2010.08.06 TrojWare.Win32.Rootkit.TDL3.gen
DrWeb 5.0.2.03300 2010.08.06 -
Emsisoft 5.0.0.36 2010.08.06 -
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7771 2010.08.06 -
F-Prot 4.6.1.107 2010.08.05 -
F-Secure 9.0.15370.0 2010.08.06 -
Fortinet 4.1.143.0 2010.08.06 -
GData 21 2010.08.06 -
Ikarus T3.1.1.84.0 2010.08.06 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.06 -
McAfee 5.400.0.1158 2010.08.06 -
McAfee-GW-Edition 2010.1 2010.08.06 Heuristic.LooksLike.Win32.NewMalware.I
Microsoft 1.6004 2010.08.06 -
NOD32 5347 2010.08.06 -
Norman 6.05.11 2010.08.06 -
nProtect 2010-08-06.01 2010.08.06 Trojan/W32.Rootkit.154112.D
Panda 10.0.2.7 2010.08.06 -
PCTools 7.0.3.5 2010.08.06 -
Prevx 3.0 2010.08.06 -
Rising 22.59.04.04 2010.08.06 -
Sophos 4.56.0 2010.08.06 Mal/TDSSRt-A
Sunbelt 6694 2010.08.06 LooksLike.Win32.PatchedDriver!A (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.06 -
Symantec 20101.1.1.7 2010.08.06 -
TheHacker 6.5.2.1.334 2010.08.06 -
TrendMicro 9.120.0.1004 2010.08.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.06 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.06 -
VirusBuster 5.0.27.0 2010.08.06 -
Additional information
File size: 154112 bytes
MD5...: 0978b034c116bcb51c5be583f29074b8
SHA1..: 1224a07b56993a0347fb146efc0f235f97bb149b
SHA256: 46378aa0f391f78c12f8bb3c6c99022538412387d997448225201edd44ef1d49
ssdeep: 3072:zP+1wyyBw0iQM+jCc10YiYtlxpq2jGIKwJkXkzmA5wrH0vfqOd:j+12w0TM<br>0il2dKoIkzP58CJ<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x22b14<br>timedatestamp.....: 0x4802549d (Sun Apr 13 18:44:45 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1d868 0x1d880 6.53 6f6c04debe7b7b8e8feb232dac38f4aa<br>.rdata 0x1db80 0x334 0x380 4.58 18beb95532f1da1d47e2be7de9206076<br>.data 0x1df00 0x3af8 0x3b00 1.13 885e883f60ca4b3598fe3d1017b28306<br>PAGE 0x21a00 0x4e3 0x500 5.89 8d60b8c0931b5ecc0f63641e96affdb3<br>INIT 0x21f00 0xbd0 0xc00 5.58 425ca9674a6a56c4e4fffc0ad0b11898<br>.rsrc 0x22b00 0x18e8 0x1900 3.55 8c4b461562cfcfa5f9eed389c64679f8<br>.reloc 0x24400 0x15ac 0x1600 6.52 942231c44bff6f40d9c2ea145b34ab77<br><br>( 3 imports ) <br>&gt; ntoskrnl.exe: IofCallDriver, KeGetCurrentThread, KeDelayExecutionThread, IoBuildAsynchronousFsdRequest, ObfReferenceObject, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoBuildPartialMdl, MmGetPhysicalAddress, IoAllocateMdl, _allshr, KeInitializeEvent, KeWaitForSingleObject, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, _except_handler3, MmUnmapLockedPages, IofCompleteRequest, memmove, KeSetEvent, ProbeForRead, ProbeForWrite, KeTickCount, PsCreateSystemThread, KeInitializeSemaphore, FsRtlIsTotalDeviceFailure, ExFreePoolWithTag, ExAllocatePoolWithTag, RtlInitUnicodeString, swprintf, RtlCopyUnicodeString, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoAttachDeviceToDeviceStack, PoCallDriver, PoStartNextPowerIrp, RtlVerifyVersionInfo, VerSetConditionMask, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, IoGetAttachedDeviceReference, RtlFreeUnicodeString, IoGetDeviceObjectPointer, ObfDereferenceObject, RtlInitAnsiString, RtlAppendUnicodeStringToString, RtlStringFromGUID, IoFreeIrp, RtlFreeAnsiString, IoDeleteSymbolicLink, strncmp, RtlUnicodeStringToAnsiString, wcsncmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwQueryValueKey, ZwOpenKey, IoGetDeviceProperty, RtlCompareMemory, IoWritePartitionTableEx, _allmul, IoReadPartitionTableEx, IoRegisterDriverReinitialization, IoReportDetectedDevice, IoCreateSynchronizationEvent, IoWriteErrorLogEntry, strncpy, IoAllocateErrorLogEntry, InterlockedPopEntrySList, InterlockedPushEntrySList, ExInitializeNPagedLookasideList, IoCreateDevice, IoCreateSymbolicLink, ZwCreateDirectoryObject, ZwMakeTemporaryObject, isdigit, PoRequestPowerIrp, PoSetPowerState, IoWMIRegistrationControl, wcslen, KeBugCheckEx, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeInitializeSpinLock, IoDeleteDevice, MmUnlockPages, RtlAnsiStringToUnicodeString, IoFreeMdl, IoInvalidateDeviceRelations, KeQuerySystemTime, IoVolumeDeviceToDosName, KeReleaseSemaphore, KeInitializeDpc, KeInitializeTimer, KeSetTimer, PsTerminateSystemThread, _aulldvrm, IoRaiseInformationalHardError, _allrem, _alldiv, _alldvrm, ZwClose, sprintf<br>&gt; HAL.dll: ExAcquireFastMutex, KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock, ExReleaseFastMutex<br>&gt; WMILIB.SYS: WmiSystemControl, WmiCompleteRequest<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

Antivirus;Version;Last Update;Result
AhnLab-V3;2010.08.06.01;2010.08.06;Backdoor/Win32.Tdss
AntiVir;8.2.4.32;2010.08.06;-
Antiy-AVL;2.0.3.7;2010.08.06;-
Authentium;5.2.0.5;2010.08.06;-
Avast;4.8.1351.0;2010.08.06;-
Avast5;5.0.332.0;2010.08.06;-
AVG;9.0.0.851;2010.08.06;-
BitDefender;7.2;2010.08.06;-
CAT-QuickHeal;11.00;2010.08.06;-
ClamAV;0.96.0.3-git;2010.08.06;-
Comodo;5667;2010.08.06;TrojWare.Win32.Rootkit.TDL3.gen
DrWeb;5.0.2.03300;2010.08.06;-
Emsisoft;5.0.0.36;2010.08.06;-
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7771;2010.08.06;-
F-Prot;4.6.1.107;2010.08.05;-
F-Secure;9.0.15370.0;2010.08.06;-
Fortinet;4.1.143.0;2010.08.06;-
GData;21;2010.08.06;-
Ikarus;T3.1.1.84.0;2010.08.06;-
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.06;-
McAfee;5.400.0.1158;2010.08.06;-
McAfee-GW-Edition;2010.1;2010.08.06;Heuristic.LooksLike.Win32.NewMalware.I
Microsoft;1.6004;2010.08.06;-
NOD32;5347;2010.08.06;-
Norman;6.05.11;2010.08.06;-
nProtect;2010-08-06.01;2010.08.06;Trojan/W32.Rootkit.154112.D
Panda;10.0.2.7;2010.08.06;-
PCTools;7.0.3.5;2010.08.06;-
Prevx;3.0;2010.08.06;-
Rising;22.59.04.04;2010.08.06;-
Sophos;4.56.0;2010.08.06;Mal/TDSSRt-A
Sunbelt;6694;2010.08.06;LooksLike.Win32.PatchedDriver!A (v)
SUPERAntiSpyware;4.40.0.1006;2010.08.06;-
Symantec;20101.1.1.7;2010.08.06;-
TheHacker;6.5.2.1.334;2010.08.06;-
TrendMicro;9.120.0.1004;2010.08.06;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.06;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.7.29.3961;2010.08.06;-
VirusBuster;5.0.27.0;2010.08.06;-

Additional information
File size: 154112 bytes
MD5...: 0978b034c116bcb51c5be583f29074b8
SHA1..: 1224a07b56993a0347fb146efc0f235f97bb149b
SHA256: 46378aa0f391f78c12f8bb3c6c99022538412387d997448225201edd44ef1d49
ssdeep: 3072:zP+1wyyBw0iQM+jCc10YiYtlxpq2jGIKwJkXkzmA5wrH0vfqOd:j+12w0TM<br>0il2dKoIkzP58CJ<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x22b14<br>timedatestamp.....: 0x4802549d (Sun Apr 13 18:44:45 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1d868 0x1d880 6.53 6f6c04debe7b7b8e8feb232dac38f4aa<br>.rdata 0x1db80 0x334 0x380 4.58 18beb95532f1da1d47e2be7de9206076<br>.data 0x1df00 0x3af8 0x3b00 1.13 885e883f60ca4b3598fe3d1017b28306<br>PAGE 0x21a00 0x4e3 0x500 5.89 8d60b8c0931b5ecc0f63641e96affdb3<br>INIT 0x21f00 0xbd0 0xc00 5.58 425ca9674a6a56c4e4fffc0ad0b11898<br>.rsrc 0x22b00 0x18e8 0x1900 3.55 8c4b461562cfcfa5f9eed389c64679f8<br>.reloc 0x24400 0x15ac 0x1600 6.52 942231c44bff6f40d9c2ea145b34ab77<br><br>( 3 imports ) <br>&gt; ntoskrnl.exe: IofCallDriver, KeGetCurrentThread, KeDelayExecutionThread, IoBuildAsynchronousFsdRequest, ObfReferenceObject, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoBuildPartialMdl, MmGetPhysicalAddress, IoAllocateMdl, _allshr, KeInitializeEvent, KeWaitForSingleObject, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, _except_handler3, MmUnmapLockedPages, IofCompleteRequest, memmove, KeSetEvent, ProbeForRead, ProbeForWrite, KeTickCount, PsCreateSystemThread, KeInitializeSemaphore, FsRtlIsTotalDeviceFailure, ExFreePoolWithTag, ExAllocatePoolWithTag, RtlInitUnicodeString, swprintf, RtlCopyUnicodeString, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoAttachDeviceToDeviceStack, PoCallDriver, PoStartNextPowerIrp, RtlVerifyVersionInfo, VerSetConditionMask, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, IoGetAttachedDeviceReference, RtlFreeUnicodeString, IoGetDeviceObjectPointer, ObfDereferenceObject, RtlInitAnsiString, RtlAppendUnicodeStringToString, RtlStringFromGUID, IoFreeIrp, RtlFreeAnsiString, IoDeleteSymbolicLink, strncmp, RtlUnicodeStringToAnsiString, wcsncmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwQueryValueKey, ZwOpenKey, IoGetDeviceProperty, RtlCompareMemory, IoWritePartitionTableEx, _allmul, IoReadPartitionTableEx, IoRegisterDriverReinitialization, IoReportDetectedDevice, IoCreateSynchronizationEvent, IoWriteErrorLogEntry, strncpy, IoAllocateErrorLogEntry, InterlockedPopEntrySList, InterlockedPushEntrySList, ExInitializeNPagedLookasideList, IoCreateDevice, IoCreateSymbolicLink, ZwCreateDirectoryObject, ZwMakeTemporaryObject, isdigit, PoRequestPowerIrp, PoSetPowerState, IoWMIRegistrationControl, wcslen, KeBugCheckEx, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeInitializeSpinLock, IoDeleteDevice, MmUnlockPages, RtlAnsiStringToUnicodeString, IoFreeMdl, IoInvalidateDeviceRelations, KeQuerySystemTime, IoVolumeDeviceToDosName, KeReleaseSemaphore, KeInitializeDpc, KeInitializeTimer, KeSetTimer, PsTerminateSystemThread, _aulldvrm, IoRaiseInformationalHardError, _allrem, _alldiv, _alldvrm, ZwClose, sprintf<br>&gt; HAL.dll: ExAcquireFastMutex, KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock, ExReleaseFastMutex<br>&gt; WMILIB.SYS: WmiSystemControl, WmiCompleteRequest<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>




File dftsonp.dll received on 2010.08.06 15:17:58 (UTC)
Antivirus Version Last Update Result
AhnLab-V3 2010.08.06.01 2010.08.06 Malware/Win32.Generic
AntiVir 8.2.4.32 2010.08.06 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.06 W32/Hiloti.I.gen!Eldorado
Avast 4.8.1351.0 2010.08.06 Win32:Hilot
Avast5 5.0.332.0 2010.08.06 Win32:Hilot
AVG 9.0.0.851 2010.08.06 Hiloti.BA
BitDefender 7.2 2010.08.06 Gen:Variant.Hiloti.1
CAT-QuickHeal 11.00 2010.08.06 -
ClamAV 0.96.0.3-git 2010.08.06 -
Comodo 5667 2010.08.06 -
DrWeb 5.0.2.03300 2010.08.06 BackDoor.Tdss.3839
Emsisoft 5.0.0.36 2010.08.06 Trojan-Downloader.Win32.Mufanom!IK
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7771 2010.08.06 -
F-Prot 4.6.1.107 2010.08.05 W32/Hiloti.I.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.06 Gen:Variant.Hiloti.1
Fortinet 4.1.143.0 2010.08.06 -
GData 21 2010.08.06 Gen:Variant.Hiloti.1
Ikarus T3.1.1.84.0 2010.08.06 Trojan-Downloader.Win32.Mufanom
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.06 -
McAfee 5.400.0.1158 2010.08.06 Hiloti.gen.e
McAfee-GW-Edition 2010.1 2010.08.06 -
Microsoft 1.6004 2010.08.06 Trojan:Win32/Hiloti.gen!D
NOD32 5347 2010.08.06 a variant of Win32/Cimag.DB
Norman 6.05.11 2010.08.06 -
nProtect 2010-08-06.01 2010.08.06 Gen:Variant.Hiloti.1
Panda 10.0.2.7 2010.08.06 -
PCTools 7.0.3.5 2010.08.06 -
Prevx 3.0 2010.08.06 -
Rising 22.59.04.04 2010.08.06 -
Sophos 4.56.0 2010.08.06 Mal/Hiloti-D
Sunbelt 6694 2010.08.06 Trojan.Win32.Hiloti.gen.f (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.06 -
Symantec 20101.1.1.7 2010.08.06 -
TheHacker 6.5.2.1.334 2010.08.06 -
TrendMicro 9.120.0.1004 2010.08.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.06 -
VBA32 3.12.12.8 2010.08.04 suspected of Trojan.Win32.Waledac
ViRobot 2010.7.29.3961 2010.08.06 -
VirusBuster 5.0.27.0 2010.08.06 Trojan.Hiloti.Gen!Pac
Additional information
File size: 78848 bytes
MD5...: 650bada1bf31cb990a5ce647ece679be
SHA1..: de1a68015cb417587ae4170275677b011469d5fb
SHA256: e0be90cc05b7481cba06d077032f08987d7090160c12fdf97ada339ff5353ae6
ssdeep: 1536:ywI3+XZGfzSCmd5EQ47M6yp33N0UvvgtSD9HgRMKDK86mjoj5T6O6:XXZGm<br>CMkJ2NngtSD9ARMKT6mjogV<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xc294<br>timedatestamp.....: 0x4b1fc0b0 (Wed Dec 09 15:22:24 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x12000 0x11c00 6.63 ed5dcdc55e05a78e8e2851d26518a60c<br>.data 0x13000 0x1000 0x800 5.63 842edb9fb2a988a09e284036c46e4188<br>.rsrc 0x14000 0x1000 0x400 3.24 616207369d1a58ffed2c8503798c85b0<br>.reloc 0x15000 0x1000 0x800 6.13 6f10aecadf59bfeaf705ea660ea4606a<br><br>( 6 imports ) <br>&gt; KERNEL32.dll: CloseHandle, CompareStringW, ExitProcess, ExpandEnvironmentStringsA, GetACP, GetCommandLineA, GetModuleHandleA, GetModuleHandleW, GetOEMCP, GetPriorityClass, GetStartupInfoA, GetStringTypeA, GetTickCount, GetVersionExA, HeapAlloc, HeapCreate, HeapReAlloc, InterlockedIncrement, MultiByteToWideChar, PulseEvent, RtlUnwind, SetLastError, SetUnhandledExceptionFilter, SizeofResource, lstrlenA<br>&gt; user32.dll: InsertMenuA, GetWindow, GetSysColorBrush, GetClientRect, EnumWindows, DrawEdge, DefMDIChildProcA<br>&gt; ole32.dll: CoTaskMemFree, CreateAntiMoniker, CoCreateInstance<br>&gt; advapi32.dll: CryptSetProvParam, SetNamedSecurityInfoW<br>&gt; SHLWAPI.dll: StrStrA, StrToIntA, StrStrW, SHRegGetPathA<br>&gt; shfolder.dll: SHGetFolderPathA<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: MaresWEB<br>copyright....: 2003-2006, MaresWEB<br>product......: BASS_ALAC<br>description..: Apple Lossless Audio Codec add-on for the BASS library<br>original name: bass_alac.dll<br>internal name: BASS_ALAC<br>file version.: 2.3.0.0<br>comments.....: <br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

Antivirus;Version;Last Update;Result
AhnLab-V3;2010.08.06.01;2010.08.06;Malware/Win32.Generic
AntiVir;8.2.4.32;2010.08.06;-
Antiy-AVL;2.0.3.7;2010.08.06;-
Authentium;5.2.0.5;2010.08.06;W32/Hiloti.I.gen!Eldorado
Avast;4.8.1351.0;2010.08.06;Win32:Hilot
Avast5;5.0.332.0;2010.08.06;Win32:Hilot
AVG;9.0.0.851;2010.08.06;Hiloti.BA
BitDefender;7.2;2010.08.06;Gen:Variant.Hiloti.1
CAT-QuickHeal;11.00;2010.08.06;-
ClamAV;0.96.0.3-git;2010.08.06;-
Comodo;5667;2010.08.06;-
DrWeb;5.0.2.03300;2010.08.06;BackDoor.Tdss.3839
Emsisoft;5.0.0.36;2010.08.06;Trojan-Downloader.Win32.Mufanom!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7771;2010.08.06;-
F-Prot;4.6.1.107;2010.08.05;W32/Hiloti.I.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.06;Gen:Variant.Hiloti.1
Fortinet;4.1.143.0;2010.08.06;-
GData;21;2010.08.06;Gen:Variant.Hiloti.1
Ikarus;T3.1.1.84.0;2010.08.06;Trojan-Downloader.Win32.Mufanom
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.06;-
McAfee;5.400.0.1158;2010.08.06;Hiloti.gen.e
McAfee-GW-Edition;2010.1;2010.08.06;-
Microsoft;1.6004;2010.08.06;Trojan:Win32/Hiloti.gen!D
NOD32;5347;2010.08.06;a variant of Win32/Cimag.DB
Norman;6.05.11;2010.08.06;-
nProtect;2010-08-06.01;2010.08.06;Gen:Variant.Hiloti.1
Panda;10.0.2.7;2010.08.06;-
PCTools;7.0.3.5;2010.08.06;-
Prevx;3.0;2010.08.06;-
Rising;22.59.04.04;2010.08.06;-
Sophos;4.56.0;2010.08.06;Mal/Hiloti-D
Sunbelt;6694;2010.08.06;Trojan.Win32.Hiloti.gen.f (v)
SUPERAntiSpyware;4.40.0.1006;2010.08.06;-
Symantec;20101.1.1.7;2010.08.06;-
TheHacker;6.5.2.1.334;2010.08.06;-
TrendMicro;9.120.0.1004;2010.08.06;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.06;-
VBA32;3.12.12.8;2010.08.04;suspected of Trojan.Win32.Waledac
ViRobot;2010.7.29.3961;2010.08.06;-
VirusBuster;5.0.27.0;2010.08.06;Trojan.Hiloti.Gen!Pac

Additional information
File size: 78848 bytes
MD5...: 650bada1bf31cb990a5ce647ece679be
SHA1..: de1a68015cb417587ae4170275677b011469d5fb
SHA256: e0be90cc05b7481cba06d077032f08987d7090160c12fdf97ada339ff5353ae6
ssdeep: 1536:ywI3+XZGfzSCmd5EQ47M6yp33N0UvvgtSD9HgRMKDK86mjoj5T6O6:XXZGm<br>CMkJ2NngtSD9ARMKT6mjogV<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xc294<br>timedatestamp.....: 0x4b1fc0b0 (Wed Dec 09 15:22:24 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x12000 0x11c00 6.63 ed5dcdc55e05a78e8e2851d26518a60c<br>.data 0x13000 0x1000 0x800 5.63 842edb9fb2a988a09e284036c46e4188<br>.rsrc 0x14000 0x1000 0x400 3.24 616207369d1a58ffed2c8503798c85b0<br>.reloc 0x15000 0x1000 0x800 6.13 6f10aecadf59bfeaf705ea660ea4606a<br><br>( 6 imports ) <br>&gt; KERNEL32.dll: CloseHandle, CompareStringW, ExitProcess, ExpandEnvironmentStringsA, GetACP, GetCommandLineA, GetModuleHandleA, GetModuleHandleW, GetOEMCP, GetPriorityClass, GetStartupInfoA, GetStringTypeA, GetTickCount, GetVersionExA, HeapAlloc, HeapCreate, HeapReAlloc, InterlockedIncrement, MultiByteToWideChar, PulseEvent, RtlUnwind, SetLastError, SetUnhandledExceptionFilter, SizeofResource, lstrlenA<br>&gt; user32.dll: InsertMenuA, GetWindow, GetSysColorBrush, GetClientRect, EnumWindows, DrawEdge, DefMDIChildProcA<br>&gt; ole32.dll: CoTaskMemFree, CreateAntiMoniker, CoCreateInstance<br>&gt; advapi32.dll: CryptSetProvParam, SetNamedSecurityInfoW<br>&gt; SHLWAPI.dll: StrStrA, StrToIntA, StrStrW, SHRegGetPathA<br>&gt; shfolder.dll: SHGetFolderPathA<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: MaresWEB<br>copyright....: 2003-2006, MaresWEB<br>product......: BASS_ALAC<br>description..: Apple Lossless Audio Codec add-on for the BASS library<br>original name: bass_alac.dll<br>internal name: BASS_ALAC<br>file version.: 2.3.0.0<br>comments.....: <br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>



File eEmpty.exe received on 2010.08.06 15:21:12 (UTC)
Antivirus Version Last Update Result
AhnLab-V3 2010.08.06.01 2010.08.06 -
AntiVir 8.2.4.32 2010.08.06 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.06 -
Avast 4.8.1351.0 2010.08.06 -
Avast5 5.0.332.0 2010.08.06 -
AVG 9.0.0.851 2010.08.06 -
BitDefender 7.2 2010.08.06 -
CAT-QuickHeal 11.00 2010.08.06 -
ClamAV 0.96.0.3-git 2010.08.06 -
Comodo 5667 2010.08.06 -
DrWeb 5.0.2.03300 2010.08.06 -
Emsisoft 5.0.0.36 2010.08.06 -
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7771 2010.08.06 -
F-Prot 4.6.1.107 2010.08.05 -
F-Secure 9.0.15370.0 2010.08.06 -
Fortinet 4.1.143.0 2010.08.06 -
GData 21 2010.08.06 -
Ikarus T3.1.1.84.0 2010.08.06 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.06 -
McAfee 5.400.0.1158 2010.08.06 -
McAfee-GW-Edition 2010.1 2010.08.06 -
Microsoft 1.6004 2010.08.06 -
NOD32 5347 2010.08.06 -
Norman 6.05.11 2010.08.06 -
nProtect 2010-08-06.01 2010.08.06 -
Panda 10.0.2.7 2010.08.06 -
PCTools 7.0.3.5 2010.08.06 -
Prevx 3.0 2010.08.06 -
Rising 22.59.04.04 2010.08.06 -
Sophos 4.56.0 2010.08.06 -
Sunbelt 6695 2010.08.06 -
SUPERAntiSpyware 4.40.0.1006 2010.08.06 -
Symantec 20101.1.1.7 2010.08.06 -
TheHacker 6.5.2.1.334 2010.08.06 -
TrendMicro 9.120.0.1004 2010.08.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.06 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.06 -
VirusBuster 5.0.27.0 2010.08.06 -
Additional information
File size: 34048 bytes
MD5...: 38f07d89c0dcb4826f508b78087215d8
SHA1..: 45d01e97c1695fc18fd46598ca1444ddaa6f43b3
SHA256: d23863c0dac5de53fbd1d11a0e2721c175663669b74a3f0f8a459f7a13914b22
ssdeep: 384:W40MvVx9fzmlXUBWEYHyyBYrh6oZqWtR1YJLWQGHbU:7fXKTHyY+h6oneL0H<br>bU<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1010<br>timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84<br>.rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0<br>.data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4<br>.rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
sigcheck:<br>publisher....: MicroWorld Technologies Inc.<br>copyright....: Copyright (c) MicroWorld Technologies Inc.<br>product......: eScan For Windows<br>description..: eScan Empty Container<br>original name: eEmpty.exe<br>internal name: eEmpty<br>file version.: 2, 0, 0, 2<br>comments.....: <br>signers......: MicroWorld Technologies Inc.<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 6:01 PM 7/15/2009<br>verified.....: -<br>

Antivirus;Version;Last Update;Result
AhnLab-V3;2010.08.06.01;2010.08.06;-
AntiVir;8.2.4.32;2010.08.06;-
Antiy-AVL;2.0.3.7;2010.08.06;-
Authentium;5.2.0.5;2010.08.06;-
Avast;4.8.1351.0;2010.08.06;-
Avast5;5.0.332.0;2010.08.06;-
AVG;9.0.0.851;2010.08.06;-
BitDefender;7.2;2010.08.06;-
CAT-QuickHeal;11.00;2010.08.06;-
ClamAV;0.96.0.3-git;2010.08.06;-
Comodo;5667;2010.08.06;-
DrWeb;5.0.2.03300;2010.08.06;-
Emsisoft;5.0.0.36;2010.08.06;-
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7771;2010.08.06;-
F-Prot;4.6.1.107;2010.08.05;-
F-Secure;9.0.15370.0;2010.08.06;-
Fortinet;4.1.143.0;2010.08.06;-
GData;21;2010.08.06;-
Ikarus;T3.1.1.84.0;2010.08.06;-
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.06;-
McAfee;5.400.0.1158;2010.08.06;-
McAfee-GW-Edition;2010.1;2010.08.06;-
Microsoft;1.6004;2010.08.06;-
NOD32;5347;2010.08.06;-
Norman;6.05.11;2010.08.06;-
nProtect;2010-08-06.01;2010.08.06;-
Panda;10.0.2.7;2010.08.06;-
PCTools;7.0.3.5;2010.08.06;-
Prevx;3.0;2010.08.06;-
Rising;22.59.04.04;2010.08.06;-
Sophos;4.56.0;2010.08.06;-
Sunbelt;6695;2010.08.06;-
SUPERAntiSpyware;4.40.0.1006;2010.08.06;-
Symantec;20101.1.1.7;2010.08.06;-
TheHacker;6.5.2.1.334;2010.08.06;-
TrendMicro;9.120.0.1004;2010.08.06;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.06;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.7.29.3961;2010.08.06;-
VirusBuster;5.0.27.0;2010.08.06;-

Additional information
File size: 34048 bytes
MD5...: 38f07d89c0dcb4826f508b78087215d8
SHA1..: 45d01e97c1695fc18fd46598ca1444ddaa6f43b3
SHA256: d23863c0dac5de53fbd1d11a0e2721c175663669b74a3f0f8a459f7a13914b22
ssdeep: 384:W40MvVx9fzmlXUBWEYHyyBYrh6oZqWtR1YJLWQGHbU:7fXKTHyY+h6oneL0H<br>bU<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1010<br>timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84<br>.rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0<br>.data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4<br>.rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
sigcheck:<br>publisher....: MicroWorld Technologies Inc.<br>copyright....: Copyright (c) MicroWorld Technologies Inc.<br>product......: eScan For Windows<br>description..: eScan Empty Container<br>original name: eEmpty.exe<br>internal name: eEmpty<br>file version.: 2, 0, 0, 2<br>comments.....: <br>signers......: MicroWorld Technologies Inc.<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 6:01 PM 7/15/2009<br>verified.....: -<br>

Alt 06.08.2010, 16:32   #28
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Da wollte irgendwas CF behindern und hat es erfolgreich getan -.-

Hast du einen Ordner infected am Desktop ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 06.08.2010, 16:41   #29
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Nein. Es ist kein Ordner namens Infected auf dem Desktop vorhanden.

Alt 06.08.2010, 16:55   #30
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


Okay, ich brauche ein paar gewisse Dateien. Ganz schön fies das Zeug

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
cd \
md "%userprofile%\desktop\infected"
copy "C:\WINDOWS\dftsonp.DLL" "%userprofile%\desktop\infected\dftsonp.DLL.vir"
copy "C:\WINDOWS\System32\controlSrv.exe" "%userprofile%\desktop\infected\controlSrv.exe.vir"
copy "c:\programme\microsoft\desktoplayer.exe" "%userprofile%\desktop\infected\desktoplayer.exe.vir"
del %0
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"


Schritt 2
  • Starte bitte die OTLPE.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
/md5start
dmio.sys
/md5stop
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf denNone und danach den Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Antwort
Seite 2 von 3 1 2 3

Themen zu AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA
antitrojan, antiviren, avg, avg free, bluescree, deaktiviert, dropper, free, hijack, hijack this, hijackthis, infiziert, lautstärke, log, malwarebytes, nichts, online, problem, programm, rsit, scan, scanner, sicherheitscenter, software, spybot, this, tracking, trojaner


« Firefox öffnet Tabs mit Werbung / Anstelle einer verlinkten URL öffnet sich Werbung | Antimalware Doctor entfernt - startet trotzdem bei jedem Neustart »


Ähnliche Themen: AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


  1. urlzone2 finden
    Plagegeister aller Art und deren Bekämpfung - 03.09.2014 (6)
  2. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  3. keylogger ...finden
    Plagegeister aller Art und deren Bekämpfung - 08.12.2011 (1)
  4. AVG 9 finden SHeuer3.AQUM Dropper und Sheur.AQRA
    Plagegeister aller Art und deren Bekämpfung - 07.08.2010 (4)
  5. 8.tmp was ist das? Logger in Fa. finden!
    Log-Analyse und Auswertung - 04.07.2010 (4)
  6. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  7. Trojaner Sheur 2.AMSD /Genetic 13.BBYW /Pakes.DRR
    Plagegeister aller Art und deren Bekämpfung - 16.07.2009 (3)
  8. Virtumonde zu finden?
    Log-Analyse und Auswertung - 19.03.2009 (0)
  9. Trojaner: SHeuer.CCSI
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (0)
  10. Trojaner SHeur.CRDK + .CLBO + Agent
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (11)
  11. Virus, ja! Nur finden
    Plagegeister aller Art und deren Bekämpfung - 10.04.2008 (23)
  12. Viren finden
    Mülltonne - 21.03.2008 (0)
  13. SHeur.ADZB in NTDetect.com
    Plagegeister aller Art und deren Bekämpfung - 08.03.2008 (2)
  14. Trojan horse SHeur.ALSO
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (6)
  15. Trojaner SHeur.WUN
    Plagegeister aller Art und deren Bekämpfung - 16.11.2007 (0)
  16. Ist hier was zu finden ???
    Log-Analyse und Auswertung - 08.03.2006 (5)
  17. Ungebetene Gäste finden
    Plagegeister aller Art und deren Bekämpfung - 11.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - okay, lass bitte Combofix im abgesicherten Modus laufen. - AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA...
Archiv
Du betrachtest: AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129