"spyware protection", malacuxatx.exe und a0104769.exe

rea · 23.12.2010, 23:03

Zitat:

Was soll in Punkt 2 Fixen mit OTL

Klick auf .

bedeuten?
Gibt es irgendwann im OTL einen Button mit Punkt "." ?

Nein, da ist der "OK"-Button gemeint, ist wohl verlorengegangen.

Zitat:

Zu Punkt 6.
ich soll die Dateien auf meinem Rechner suchen und hochladen, ok?

Richtig

Zitat:

Wie kann eine Datei schon einmal geprüfft worden sein, ich habe sie doch noch garnicht hochgeladen?

Sie wurden dann von anderen Usern bereits hochgeladen von ihren Computern. Das liegt dann am gleichen Dateinamen und dem Ort wo sie sich befindet.

Zitat:

Kann ich Punkt 6 vorziehen um die Wartezeit zu verkürzen oder ist die Reihenfolge der Punkte auch hier essentiell.

Halte dich bitte an die Reihenfolge der Anleitung!

Zitat:

Ist es ein Problem, wenn ich die notwendigen Programme jetzt schon runterlade oder dürfen diese erst direkt vor der Benutzung runtergeladen werden?

Kannst du gerne auf einmal runterladen, wichtig ist der Zeitpunkt der Ausführung.

Zitat:

Ich habe diverse Anwendungen in der Quick-Startliste soll ich diese auch beenden bzw da rausnehmen?

Erklär mir bitte, was du nun genau mit Quickstartleiste meinst?

Zitat:

Darf ich Punkt5 auch jetzt schon prüfen?

Es ist wirklich viel einfacher, wenn du einfach der Reihe nach abarbeitest! Es würde ganz schon kompliziert werden, wenn wir für die einzelnen Schritte immer noch extra Abmachungen treffen würden oder findest du nicht.
Wenn die Einstellungen denn schon so stehen sollten, musst du das halt nur noch überprüfen und fertig. Eine Bereinigung dauert schon seine Zeit und die musst du dir nehmen, wenn du das hier machen möchtest.

Zitat:

Danke für die weitere Hilfe.

Gerne

Dann lass mal was sehen.

michhatserw · 23.12.2010, 23:18

hallo rea,

ich werde mich morgen vormittag dran setzen, dann bekommst Du anschliesend auch was zu sehen.

Quickstartleiste:
Ich dachte, so heißt der Teil der Taskleiste in der schon die Icons einiger Dienste zu sehen sind, die im Hintergrund laufen, z.B. Virenscanner, Druckerdeamon, Lanverbindungen etc..

Gute Nacht!

Matthias

rea · 24.12.2010, 00:04

Wenn wir fertig sind, kannst du die Leiste ändern wie du möchtest

Nachti!

michhatserw · 24.12.2010, 12:18

Hallo rea,

ich habe ein neues Problem während das Laufes von GMER
kam es zum Blue-Screen.

MACHINE_CHECK_EXCEPTION

Kann das am Bildschirmschoner liegen?
Den habe ich vergessen abzuschalten.

Vor dem Lauf von GMER hatte ich Alcohol52 deinstalliert, da ich keine Lust hatte Defogger runterzuladen. Ich bin mir nicht sicher ob ich danach noch einmal gebootet hatte.

Ich werde den Rechner neustarten und den Bildschirmschoner deaktivieren, damit ich den Rechner während des Laufes von GMER völlig in Ruhe lassen kann.

Ich melde mich wieder, wenn der GMER durch ist oder ich weitere Fehler bekomme.

PS.:
Ist es normal, daß nach dem OTL-Fix mein Zone Labs Antivirus etc. nicht mehr automatisch gestartet wird?

PPS.:
Während des OTL-Fixes war die die externe Platte an U:\ nicht angeschlossen muss ich den ganzen Fix wiederholen. Von U:\ sollte etwas gelöscht werden, reicht nur diesen Teil des Fixes zu wiederholen?

rea · 24.12.2010, 12:59

Zitat:

PS.:
Ist es normal, daß nach dem OTL-Fix mein Zone Labs Antivirus etc. nicht mehr automatisch gestartet wird?

Ich seh da zum Fix grade keine Verbindung, aber das lässt sich ja später evtl wieder ändern damit der Start wieder automatisch ist.
Es gibt sowieso genug Menschen, die dir raten würden Zonealarm gar nicht mehr zu benutzen, weil es sich nicht lohnt. Aber das ist deine Entscheidung.

Zitat:

PPS.:
Während des OTL-Fixes war die die externe Platte an U:\ nicht angeschlossen muss ich den ganzen Fix wiederholen. Von U:\ sollte etwas gelöscht werden, reicht nur diesen Teil des Fixes zu wiederholen?

Nein, eine Wiederholung ist nicht nötig, einfach weiter der Anleitung nach und alles posten was gepostet werden soll

rea · 24.12.2010, 14:44

Sorry, ich seh grad erst, dass du nicht die Firewall Zonalarm meinst, sondern den Antivirus. Davon solltest du dich natürlich nicht trennen, obwohl ich dir jetzt spontan einen Wechsel vorschlagen würde auf zb Avira Antivir Personal in der Free Edition.

michhatserw · 24.12.2010, 15:03

Hallo rea,

hier kommen jetzt meine Ergebnisse.

1. PDFCreator Toolbar deinstallieren Erledigt

2. OTL-Fix
Bis auf
O33 - MountPoints2\U\Shell\AutoRun\command - "" = U:\Install FreeAgent Tools.exe -- [2007.02.09 02:29:48 | 146,041,088 | ---- | M] (Seagate )

durchgeführt. Laufwerk U:\ war nicht eingeschaltet.

Code:

ATTFilter

 All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Arcor Online deleted successfully.
File move failed. H:\Autorun.exe scheduled to be moved on reboot.
File move failed. H:\autorun.inf scheduled to be moved on reboot.
File move failed. M:\AUTORUN.INF scheduled to be moved on reboot.
File U:\autorun.inf not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
File D:\Setup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\ not found.
File move failed. H:\Autorun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\U\ deleted successfully.
File U:\Install FreeAgent Tools.exe not found.
C:\WINDOWS\jestertb.dll moved successfully.
C:\WINDOWS\system32\vorbisenc.dll moved successfully.
C:\WINDOWS\system32\OggDS.dll moved successfully.
C:\WINDOWS\system32\vorbis.dll moved successfully.
C:\WINDOWS\system32\Ogg.dll moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: andrea
->Temp folder emptied: 929 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: bibi
->Temp folder emptied: 1000896 bytes
->Temporary Internet Files folder emptied: 1404584 bytes
->FireFox cache emptied: 49271946 bytes
->Flash cache emptied: 456 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 71074972 bytes
 
User: marco
->Temp folder emptied: 17768751 bytes
->Temporary Internet Files folder emptied: 3559259 bytes
->Java cache emptied: 16768 bytes
->FireFox cache emptied: 85826698 bytes
->Flash cache emptied: 5296 bytes
 
User: Matthias
->Temp folder emptied: 560949746 bytes
->Temporary Internet Files folder emptied: 63623758 bytes
->Java cache emptied: 7140 bytes
->FireFox cache emptied: 93538789 bytes
->Flash cache emptied: 613 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: spieler
->Temp folder emptied: 124780380 bytes
->Temporary Internet Files folder emptied: 4305426 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3668121 bytes
->Flash cache emptied: 405 bytes
 
User: subchief
->Temp folder emptied: 1359811 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 720379 bytes
 
User: surfer
->Temp folder emptied: 173257362 bytes
->Temporary Internet Files folder emptied: 143226996 bytes
->Java cache emptied: 14315554 bytes
->FireFox cache emptied: 107143567 bytes
->Flash cache emptied: 1951065 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134431 bytes
%systemroot%\System32 .tmp files removed: 4620951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65961061 bytes
RecycleBin emptied: 119102 bytes
 
Total Files Cleaned = 1.522,00 mb
 
Restore point Set: OTL Restore Point (0)
 
OTL by OldTimer - Version 3.2.18.0 log created on 12242010_105944

Files\Folders moved on Reboot...
File move failed. H:\Autorun.exe scheduled to be moved on reboot.
File move failed. H:\autorun.inf scheduled to be moved on reboot.
File move failed. M:\AUTORUN.INF scheduled to be moved on reboot.
File\Folder C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\~DF9BCE.tmp not found!
File\Folder C:\WINDOWS\temp\ZLT03a0c.TMP not found!

Registry entries deleted on Reboot...

3. Desinfizierung/Absicherung externer Medien

Lief durch nachdem ich alle USB-Sticks schreibbar gemacht hatte.
Keine weiteren Fehler gemeldet.

4. Gmer - Rootkitscan

Ich habe vor dem Lauf Alcohol52 deinstalliert und evtl den Reboot vergessen.

GMER stürzte im ersten Durchlauf mit Blue-Screen ab.
Daher gibt es keinen Log für Teil 1

Nach Restart des Rechners neuer Lauf mit folgendem Ergebnis.

gespeichert nach dem Scan zu Begin des Gmer-Laufes
Enthält weniger Daten als beim ersten Versuch zu sehen waren, das habe ich allerdings nicht gespeichert.

GMER Logfile:
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-12-24 13:49:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\00000073 SAMSUNG_SP1614N rev.TM100-30
Running: yp10cbdl.exe; Driver: C:\DOKUME~1\Matthias\LOKALE~1\Temp\uftdqpod.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs       VET-REC.SYS
AttachedDevice  \FileSystem\Fastfat \Fat     VET-REC.SYS
AttachedDevice  \FileSystem\Fastfat \Fat     VET-FILT.SYS

Device          \Driver\Tcpip \Device\Ip     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Tcp    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Udp    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- EOF - GMER 1.0.15 ----

Log am Ende des GMER-Laufes

Code:

ATTFilter

 GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-24 14:17:18
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\00000073 SAMSUNG_SP1614N rev.TM100-30
Running: yp10cbdl.exe; Driver: C:\DOKUME~1\Matthias\LOKALE~1\Temp\uftdqpod.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwConnectPort [0xB972DC90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateFile [0xB972AB70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateKey [0xB9743944]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateProcess [0xB9742760]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateProcessEx [0xB9742980]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateSection [0xB9745610]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteFile [0xB972B180]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteKey [0xB9744330]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteValueKey [0xB9744100]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDuplicateObject [0xB9742080]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwLoadDriver [0xB97289C0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwLoadKey [0xB97444F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwMapViewOfSection [0xB9745860]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwOpenFile [0xB972AFD0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwOpenProcess [0xB9741E80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwOpenThread [0xB9741C40]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwReplaceKey [0xB97447C0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwRequestWaitReplyPort [0xB972D960]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwRestoreKey [0xB9744A50]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSecureConnectPort [0xB972DE40]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetInformationFile [0xB972B2F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetSystemInformation [0xB9728830]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetValueKey [0xB9743EA0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwTerminateProcess [0xB9742BB0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwUnloadDriver [0xB9728B70]

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                     section is writeable [0xF4E50360, 0x20598D, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                       section is writeable [0xB441F300, 0x3AE88, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                       section is writeable [0xB6551300, 0x1B7E, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                       VET-REC.SYS

Device          \Driver\Tcpip \Device\Ip                                                     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Tcp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Udp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \FileSystem\Fastfat \Fat                                                     VET-REC.SYS
AttachedDevice  \FileSystem\Fastfat \Fat                                                     VET-FILT.SYS

---- EOF - GMER 1.0.15 ----

--- --- ---

--- --- ---

--- --- ---

--- --- ---

5. Einstellungen prüfen
Einstellungen wurde wie angefordert gesetzt.

6. Virustotal Überprüfung für

C:\WINDOWS\system32\DRIVERS\a19346b.sys
C:\WINDOWS\System32\Drivers\a19346c.sys

konnte nicht erfolgen, da Dateien nicht "mehr" auf dem Rechner zu finden.
War aber in der Log-Anzeige des abgrochenen GMER-Laufes zu sehen.

Ergebnis für

C:\Programme\Familien-Internet\Zeiten\user.exe

Code:

ATTFilter

 Virus Total 	
Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
user.exe
Submission date:
2010-12-24 13:52:13 (UTC)
Current status:
queued (#11) queued (#1) analysing finished
Result:
2/ 43 (4.7%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.12.24.00	2010.12.23	-
AntiVir	7.11.0.174	2010.12.24	-
Antiy-AVL	2.0.3.7	2010.12.24	-
Avast	4.8.1351.0	2010.12.24	-
Avast5	5.0.677.0	2010.12.24	-
AVG	9.0.0.851	2010.12.24	-
BitDefender	7.2	2010.12.24	-
CAT-QuickHeal	11.00	2010.12.24	-
ClamAV	0.96.4.0	2010.12.24	-
Command	5.2.11.5	2010.12.24	-
Comodo	7172	2010.12.24	-
DrWeb	5.0.2.03300	2010.12.24	-
Emsisoft	5.1.0.1	2010.12.24	-
eSafe	7.0.17.0	2010.12.22	-
eTrust-Vet	36.1.8059	2010.12.24	-
F-Prot	4.6.2.117	2010.12.24	-
F-Secure	9.0.16160.0	2010.12.24	-
Fortinet	4.2.254.0	2010.12.24	-
GData	21	2010.12.24	-
Ikarus	T3.1.1.90.0	2010.12.24	-
Jiangmin	13.0.900	2010.12.24	-
K7AntiVirus	9.74.3335	2010.12.24	-
Kaspersky	7.0.0.125	2010.12.24	-
McAfee	5.400.0.1158	2010.12.24	-
McAfee-GW-Edition	2010.1C	2010.12.24	Heuristic.BehavesLike.Win32.Packed.A
Microsoft	1.6402	2010.12.24	-
NOD32	5729	2010.12.24	-
Norman	6.06.12	2010.12.24	-
nProtect	2010-12-24.01	2010.12.24	-
Panda	10.0.2.7	2010.12.24	-
PCTools	7.0.3.5	2010.12.24	-
Prevx	3.0	2010.12.24	-
Rising	22.79.03.04	2010.12.24	-
Sophos	4.60.0	2010.12.24	-
SUPERAntiSpyware	4.40.0.1006	2010.12.24	Trojan.Agent/Gen-SVC[Fake]
Symantec	20101.3.0.103	2010.12.24	-
TheHacker	6.7.0.1.104	2010.12.21	-
TrendMicro	9.120.0.1004	2010.12.24	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.24	-
VBA32	3.12.14.2	2010.12.23	-
VIPRE	7803	2010.12.24	-
ViRobot	2010.12.24.4218	2010.12.24	-
VirusBuster	13.6.111.0	2010.12.24	-
Additional information
Show all
MD5   : 4f16c9701bacd53aee31c0a166e53eed
SHA1  : 3aed80bb9eba18e3b795d6ff0859d0977a960210
SHA256: ebccc023ed6d4f296d8bd0ab8d626744ba7f32ea06039091aafd9b74b45b64dd
ssdeep: 6144:mlZ/zUMu4pDSxsCMRzf7x3SfS1JAzXBtL76lQBAkHZw4G72:mHLUMuiv9RgfSjAzRty/kH
Zt
File size : 380619 bytes
First seen: 2010-12-24 13:52:13
Last seen : 2010-12-24 13:52:13
TrID:
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..:
original name: n/a
internal name: n/a
file version.: 3, 3, 0, 0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xB11E0
timedatestamp....: 0x4951FA17 (Wed Dec 24 09:00:07 2008)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x71000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x72000, 0x40000, 0x3F400, 7.93, db8a796fd7f4d2a7353b4edf390e6cb6
.rsrc, 0xB2000, 0xB000, 0xA400, 6.09, c04541cd1078287933840144206eef72

[[ 16 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
ADVAPI32.dll: AddAce
COMCTL32.dll: ImageList_Remove
COMDLG32.dll: GetSaveFileNameW
GDI32.dll: BitBlt
MPR.dll: WNetGetConnectionW
ole32.dll: CoInitialize
OLEAUT32.dll: -
PSAPI.DLL: EnumProcesses
SHELL32.dll: DragFinish
USER32.dll: GetDC
USERENV.dll: LoadUserProfileW
VERSION.dll: VerQueryValueW
WININET.dll: FtpOpenFileW
WINMM.dll: timeGetTime
WSOCK32.dll: -
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 262144
CompiledScript: AutoIt v3 Script : 3, 3, 0, 0
EntryPoint: 0xb11e0
FileDescription:
FileFlagsMask: 0x0017
FileOS: Win32
FileSize: 372 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 3, 3, 0, 0
FileVersionNumber: 3.3.0.0
ImageVersion: 0.0
InitializedDataSize: 45056
LanguageCode: English (British)
LinkerVersion: 9.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 5.0
ObjectFileType: Unknown
PEType: PE32
ProductVersionNumber: 3.3.0.0
Subsystem: Windows GUI
SubsystemVersion: 5.0
TimeStamp: 2008:12:24 10:00:07+01:00
UninitializedDataSize: 462848
Symantec reputation:Suspicious.Insight

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

VirusTotal Team

Ich hoffe das hilft weiter.

Ich werde jetzt Schluss machen für heute und wünsche ein paar schöne Feiertage.

Tschüß
Matthias

rea · 24.12.2010, 17:02

Okay, die folgende Datei solltest du dann bitte ebenfalls noch bei Virustotal hochladen und überprüfen lassen:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\atapi.sys

Kann sein, dass sie nicht die ist für die sie sich ausgibt.

C:\Programme\Familien-Internet
Wann hast du das Programm installiert und benötigst du es? Was kannst du mir sonst dazu sagen?

Ich benötige dann nochmal zwei neue Logfiles von OTL:

1.) Systemscan mit OTL

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

Ich wünsche ebenfalls frohe Festtage und bis dann

24.12.2010, 00:04	#3
rea /// Helfer-Team	"spyware protection", malacuxatx.exe und a0104769.exe Wenn wir fertig sind, kannst du die Leiste ändern wie du möchtest Nachti! __________________ __________________

24.12.2010, 14:44	#6
rea /// Helfer-Team	"spyware protection", malacuxatx.exe und a0104769.exe Sorry, ich seh grad erst, dass du nicht die Firewall Zonalarm meinst, sondern den Antivirus. Davon solltest du dich natürlich nicht trennen, obwohl ich dir jetzt spontan einen Wechsel vorschlagen würde auf zb Avira Antivir Personal in der Free Edition. __________________ --> "spyware protection", malacuxatx.exe und a0104769.exe

"spyware protection", malacuxatx.exe und a0104769.exe

Plagegeister aller Art und deren Bekämpfung: "spyware protection", malacuxatx.exe und a0104769.exe