Trojaner-Board - Einwahl gestört

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Einwahl gestört (https://www.trojaner-board.de/70189-einwahl-gestoert.html)

Einwahl gestört

Hallo,

seit einigen Tagen habe ich ein Problem ins Internet zu gelangen. Nachdem die telekom keine fehler in der Hardware bis zu meinem rechner fand, mein Modem laut dem hersteller auch korrekt zu arbeiten scheint, versuche ich es hier einmal, ob vielleicht ein Befall mit Schadware schuld ist.

Modem: FritzCard SL DSL USB

Nach dem Start meines Rechners wird mir die Fehlermeldung
Fehler 678: Der Remotecomputer antwortet nicht
angezeigt.
Ich startete dann die FritzCard-Software und installierte die FritzCard-Programme über die alten.
Nach dem Neustart erfolgt problemlos und schnell die Einwahl. Diese Prozedur muss ich derzeit jedes Mal durchführen um ins Internet zu gelangen.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:25:15, on 20.02.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Rundll32.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Microsoft IntelliPoint\ipoint.exe

C:\Programme\Microsoft IntelliType Pro\itype.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\FRITZ!DSL\Awatch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\PureText\PureText.exe

C:\Programme\A Note\A Note.exe

C:\Programme\PhraseExpress\phraseexpress.exe

C:\Programme\aborange DayDisplay\DayDisplay.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\CNAB3RPK.EXE

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Programme\Idoswin Pro\IdoswinPro.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Thunderbird\thunderbird.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe

O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe

O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe

O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe

O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.125 194.97.173.124

O17 - HKLM\System\CCS\Services\Tcpip\..\{CF82FC6A-8C73-418C-86AA-A018B664574A}: NameServer = 192.168.122.252,192.168.122.253

O18 - Protocol: haufereader - (no CLSID) - (no file)

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

Beste Grüße
Thomas

Wie sind deine DNS Einträge deiner Internetverbindung?

Steht dort DNS automatisch beziehen oder hast du selbst die DNS eingegeben?

Falls dort nicht automatisch beziehen steht und du auch sonst keinerlei Einträge dort vorgenommen hast....welche IP´s stehen unter sekundär und primär?

Hallo Redwulf,

wo kann ich diese Einstellungen sehen?

Beste Grüße
Thomas

Guckst du hier:

Code:

Geh bitte auf START

Systemsteuerung

Netzwerk- und Internetverbindungen

NetzwerkverbindungenHierauf dann einen Rechtsklick und Eigenschaften anklicken. Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern ( die oben ) eingetragen?

IP-Adresse automatisch beziehen ist aktiv. Ebenso bei DNS-Serveradresse.

Hallo Thomas

Bitte lade dir MalwareBytes herunter und lies dir die Anleitung zuerst durch.
Dann machst du einen vollen Scan und postest das Log hier

Bis später....

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1792

Windows 5.1.2600 Service Pack 3
 

22.02.2009 14:41:25

mbam-log-2009-02-22 (14-41-25).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|M:\|)

Durchsuchte Objekte: 137817

Laufzeit: 37 minute(s), 4 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Inzwischen bezweifle, dass ich die Probleme wegen eines Befalls habe. Ich stellte nun fest, dass fahre ich meinen Rechner in den Ruhestand runter, die Einwahl beim Neustart problemlos klappt. Nur wenn ich ihn richtig herunter fahre, muss ich jedes mal die Software des Modems neu installieren. Kann dies auch mit einem Dienst zu tun haben?

Du benutzt natürlich auch Programme wie TuneUp und Notizzettel, die speicherintensiv sind. Du solltest überlegen ob du diese Tools wirklich brauchst.

Um auf deine Frage zu antworten: Ich weiss es nicht. Ferndiagnosen sind sehr schwierig und können nur anhand von Logs durchgeführt werden. Es könnte sich auch um ein Treiberproblem deiner Verbindung handeln. Bin in einem anderen beitrag an einer ähnlichen Sache dran.

Wir sollten zunächst jedoch einen Eintrag bei dir fixen:

Ruf bitte Hijack nochmal auf und fixe diesen Eintrag:

Code:

O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)

Um auszuschließen das sich Schadware auf deinem Rechner befindet lad bitte diese Files bei Virustotal hoch und poste das vollständige Ergebnis hier:

Code:

C:\WINDOWS\system32\CNAB3RPK.EXE

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Programme\Idoswin Pro\IdoswinPro.exe

Nutze dann bitte CCleaner und führe einen vollständige Bereinigung durch.
Poste die Ergebnisse hier

So bitteschön. Inzwischen werfe ich nun den CCleaner an.

Code:

File size: 57344 bytes

MD5...: 6c4b812afa99b4b84b7a608efec29869

SHA1..: 8195ad67ac518106a2f7dd929e35243a560f6636

SHA256: 3c0b5ddcd6a9dd7747a49f232cb78545432f3dd55dfb844e27052c9c4217ff39

SHA512: 6480b7e9d33ed28ebf29082b1525417b16a5ab13e8dac8a069f2d1ce5c95c4ce

4ada6003e32c46a7e8da6f0636990ca2bd86abc64330eabcc058c4d633eda9d6

ssdeep: 768:9sI6h4v9cclr5ZbyGVTEV0wmwthMfEgppdqJfLh:yh4vSUvyGVTjdGkNpXwf

Lh

PEiD..: Armadillo v1.71

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x403393

timedatestamp.....: 0x42394e4e (Thu Mar 17 09:30:54 2005)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5e3a 0x6000 6.47 946f9c00b523b947995414f8ebbecb6e

.rdata 0x7000 0x12ac 0x2000 3.70 0626b8d4fc55fead078339abf9d3da9c

.data 0x9000 0x38e0 0x4000 1.09 b9113b372ad32d0cc903b3092bf95758

.rsrc 0xd000 0x3b8 0x1000 0.99 bceb00bcb2fb7b1582dfbdaeb6532af6

( 4 imports )

> KERNEL32.dll: GetLastError, CreateMutexW, WaitForSingleObject, TerminateThread, GetExitCodeThread, CreateThread, WaitForMultipleObjects, CloseHandle, CreateFileMappingW, HeapAlloc, GetProcessHeap, HeapFree, ReleaseMutex, GetVersionExW, MapViewOfFile, UnmapViewOfFile, lstrlenW, lstrcmpW, lstrcmpiW, lstrcatW, lstrcpyW, OpenEventW, Sleep, InitializeCriticalSection, GetStringTypeW, GetStringTypeA, LCMapStringA, MultiByteToWideChar, LCMapStringW, InterlockedDecrement, LoadLibraryA, InterlockedIncrement, GetOEMCP, GetACP, GetProcAddress, WriteFile, GetCPInfo, TlsGetValue, EnterCriticalSection, RtlUnwind, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, SetLastError, WideCharToMultiByte, GetEnvironmentStrings, LeaveCriticalSection, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetFileType, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, TlsAlloc, GetCurrentThreadId, TlsSetValue

> USER32.dll: SendMessageW, CharNextW, wsprintfW

> ADVAPI32.dll: InitializeSecurityDescriptor, InitializeAcl, AddAccessAllowedAce, SetSecurityDescriptorDacl, InitializeSid, RegEnumKeyExW, RegCreateKeyExW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegSetValueExW, RegCloseKey

> RPCRT4.dll: RpcNetworkIsProtseqValidW, RpcServerUseProtseqEpW, RpcEpRegisterW, RpcBindingVectorFree, RpcServerListen, RpcEpUnregister, NdrFullPointerXlatInit, RpcServerInqBindings, RpcMgmtStopServerListening, NdrConformantArrayBufferSize, NdrConformantArrayUnmarshall, NdrPointerUnmarshall, NdrPointerFree, NdrConformantArrayMarshall, NdrPointerMarshall, NdrConvert, NdrFullPointerXlatFree, NdrServerInitializeNew, I_RpcGetBuffer, NdrConformantStringUnmarshall, RpcRaiseException, RpcServerRegisterIf, RpcServerUseProtseqW

( 0 exports )

Code:

File size: 126464 bytes

MD5...: 93908111ba57a6e60ec2fa2de202105c

SHA1..: 1999d8b092a5d15c2cc98e63b51dd1bc614b3c41

SHA256: f395f25f18d15c6b9fedb45fd31e10295ffe5517e2bc86acac11904ea0664be2

SHA512: 51b826acef70ab92a4106b5fb561dd2301b9702e724f6cd55442885a3c14fd94

947d3e2952e5ad185616ee0db9ec2d1695a455a91e3dad1962eee6cd3cef07af

ssdeep: 3072:Di6OyPEInRXghvg1pQfuvC8usofkCQt4uZ561k/ONt9Q5B/Z:omEInRXghT

Wq8usq/1k/ONt9QJ

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x100acf6

timedatestamp.....: 0x48025230 (Sun Apr 13 18:34:24 2008)

machinetype.......: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1d183 0x1d200 6.21 ae36a9d53a629419e9db1d01203dd021

.data 0x1f000 0x15d8 0x1200 6.04 c5edf13c7e9176c0e27e75435513a60c

.rsrc 0x21000 0x51c 0x600 3.87 b4757a5c943496251cd7b84c1682e0b3

( 9 imports )

> msvcrt.dll: _wcsicmp, wcsrchr, _CxxThrowException, _wtol, realloc, _vsnwprintf, _wtoi, wcslen, _terminate@@YAXXZ, _controlfp, _onexit, __dllonexit, __1type_info@@UAE@XZ, _except_handler3, __set_app_type, __p__fmode, wcscmp, wcschr, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, wcscspn, wcsspn, iswdigit, vswprintf, memmove, _wcsrev, _wcslwr, _wcsupr, wcsstr, wcspbrk, mbstowcs, wcscoll, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, memset, free, memcpy, __CxxFrameHandler, __2@YAPAXI@Z, __3@YAXPAX@Z, malloc

> ADVAPI32.dll: RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegDeleteKeyA, RegOpenKeyExA, RegQueryInfoKeyA, RegQueryInfoKeyW, RegEnumKeyA, RegEnumKeyW, RegEnumValueA, RegOpenCurrentUser, RegCloseKey, RegDeleteKeyW, RegEnumKeyExW, RegOpenKeyExW, RegDeleteValueW, RegSetValueExW, RegCreateKeyExW, CopySid, GetLengthSid, IsValidSid, GetTokenInformation, OpenProcessToken, RegisterEventSourceW, DeregisterEventSource, CloseServiceHandle, QueryServiceStatus, QueryServiceConfigW, OpenServiceW, OpenSCManagerW, InitializeSecurityDescriptor, FreeSid, AllocateAndInitializeSid, SetSecurityDescriptorDacl, SetEntriesInAclW, SetServiceStatus, RegisterServiceCtrlHandlerW, DeleteService, ControlService, StartServiceCtrlDispatcherW, ChangeServiceConfig2W, CreateServiceW, RegEnumValueW, RegOpenKeyW, RegQueryValueExW

> KERNEL32.dll: lstrlenW, lstrcatW, lstrcpyW, ReleaseSemaphore, WaitForSingleObject, SwitchToThread, GetCurrentProcess, InterlockedIncrement, TryEnterCriticalSection, InterlockedDecrement, InitializeCriticalSection, SetEvent, ResetEvent, EnterCriticalSection, LocalFree, LocalAlloc, lstrcmpiW, GetCommandLineW, CreateMutexW, CreateEventW, LoadLibraryW, DeleteCriticalSection, FreeLibrary, ReleaseMutex, InterlockedCompareExchange, GetModuleHandleW, GetModuleFileNameW, Sleep, WaitForMultipleObjects, UnmapViewOfFile, lstrcmpW, MapViewOfFile, CreateFileMappingW, FlushViewOfFile, GetExitCodeProcess, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, GetLocaleInfoW, MoveFileExW, FormatMessageW, FormatMessageA, lstrlenA, LeaveCriticalSection, CloseHandle, DeleteFileW, CreateDirectoryW, CreateFileW, WriteFile, WideCharToMultiByte, GetVersionExA, MultiByteToWideChar, GetVersionExW, CreateSemaphoreW, GetLastError, ExpandEnvironmentStringsW, GetProcAddress, OpenProcess, SetLastError, OpenEventW, GetSystemDefaultLCID

> USER32.dll: wsprintfW, CharNextW, LoadStringW

> ntdll.dll: NtQueryObject, atol, iswspace

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

> ole32.dll: CoInitializeEx, CoUninitialize, CoInitializeSecurity, CoCreateInstance, CoFreeUnusedLibraries, CoSetProxyBlanket

> loadperf.dll: LoadPerfCounterTextStringsW, UnloadPerfCounterTextStringsW

> wbemcomn.dll: _Throttle@@YGJKKKKK@Z

( 192 exports )

__0CHPtrArray@@QAE@XZ, __0CHString@@QAE@ABV0@@Z, __0CHString@@QAE@GH@Z, __0CHString@@QAE@PBD@Z, __0CHString@@QAE@PBE@Z, __0CHString@@QAE@PBG@Z, __0CHString@@QAE@PBGH@Z, __0CHString@@QAE@XZ, __0CHStringArray@@QAE@XZ, __0CRegistry@@QAE@ABV0@@Z, __0CRegistry@@QAE@XZ, __0CRegistrySearch@@QAE@ABV0@@Z, __0CRegistrySearch@@QAE@XZ, __1CHPtrArray@@QAE@XZ, __1CHString@@QAE@XZ, __1CHStringArray@@QAE@XZ, __1CRegistry@@QAE@XZ, __1CRegistrySearch@@QAE@XZ, __4CHPtrArray@@QAEAAV0@ABV0@@Z, __4CHString@@QAEABV0@ABV0@@Z, __4CHString@@QAEABV0@D@Z, __4CHString@@QAEABV0@G@Z, __4CHString@@QAEABV0@PAV0@@Z, __4CHString@@QAEABV0@PBD@Z, __4CHString@@QAEABV0@PBE@Z, __4CHString@@QAEABV0@PBG@Z, __4CHStringArray@@QAEAAV0@ABV0@@Z, __4CRegistry@@QAEAAV0@ABV0@@Z, __4CRegistrySearch@@QAEAAV0@ABV0@@Z, __ACHPtrArray@@QAEAAPAXH@Z, __ACHPtrArray@@QBEPAXH@Z, __ACHString@@QBEGH@Z, __ACHStringArray@@QAEAAVCHString@@H@Z, __ACHStringArray@@QBE_AVCHString@@H@Z, __BCHString@@QBEPBGXZ, __H@YG_AVCHString@@ABV0@0@Z, __H@YG_AVCHString@@ABV0@G@Z, __H@YG_AVCHString@@ABV0@PBG@Z, __H@YG_AVCHString@@GABV0@@Z, __H@YG_AVCHString@@PBGABV0@@Z, __YCHString@@QAEABV0@ABV0@@Z, __YCHString@@QAEABV0@D@Z, __YCHString@@QAEABV0@G@Z, __YCHString@@QAEABV0@PBG@Z, _Add@CHPtrArray@@QAEHPAX@Z, _Add@CHStringArray@@QAEHPBG@Z, _AllocBeforeWrite@CHString@@IAEXH@Z, _AllocBuffer@CHString@@IAEXH@Z, _AllocCopy@CHString@@IBEXAAV1@HHH@Z, _AllocSysString@CHString@@QBEPAGXZ, _Append@CHPtrArray@@QAEHABV1@@Z, _Append@CHStringArray@@QAEHABV1@@Z, _AssignCopy@CHString@@IAEXHPBG@Z, _CheckAndAddToList@CRegistrySearch@@AAEXPAVCRegistry@@VCHString@@1AAVCHPtrArray@@11H@Z, _Close@CRegistry@@QAEXXZ, _CloseSubKey@CRegistry@@AAEXXZ, _Collate@CHString@@QBEHPBG@Z, _Compare@CHString@@QBEHPBG@Z, _CompareNoCase@CHString@@QBEHPBG@Z, _ConcatCopy@CHString@@IAEXHPBGH0@Z, _ConcatInPlace@CHString@@IAEXHPBG@Z, _Copy@CHPtrArray@@QAEXABV1@@Z, _Copy@CHStringArray@@QAEXABV1@@Z, _CopyBeforeWrite@CHString@@IAEXXZ, _CreateOpen@CRegistry@@QAEJPAUHKEY__@@PBGPAGKKPAU_SECURITY_ATTRIBUTES@@PAK@Z, _DeleteCurrentKeyValue@CRegistry@@QAEKPAUHKEY__@@PBG@Z, _DeleteCurrentKeyValue@CRegistry@@QAEKPBG@Z, _DeleteKey@CRegistry@@QAEJPAVCHString@@@Z, _DeleteValue@CRegistry@@QAEJPBG@Z, _ElementAt@CHPtrArray@@QAEAAPAXH@Z, _ElementAt@CHStringArray@@QAEAAVCHString@@H@Z, _Empty@CHString@@QAEXXZ, _EnumerateAndGetValues@CRegistry@@QAEJAAKAAPAGAAPAE@Z, _Find@CHString@@QBEHG@Z, _Find@CHString@@QBEHPBG@Z, _FindOneOf@CHString@@QBEHPBG@Z, _Format@CHString@@QAAXIZZ, _Format@CHString@@QAAXPBGZZ, _FormatMessageW@CHString@@QAAXIZZ, _FormatMessageW@CHString@@QAAXPBGZZ, _FormatV@CHString@@QAEXPBGPAD@Z, _FreeExtra@CHPtrArray@@QAEXXZ, _FreeExtra@CHString@@QAEXXZ, _FreeExtra@CHStringArray@@QAEXXZ, _FreeSearchList@CRegistrySearch@@QAEHHAAVCHPtrArray@@@Z, _GetAllocLength@CHString@@QBEHXZ, _GetAt@CHPtrArray@@QBEPAXH@Z, _GetAt@CHString@@QBEGH@Z, _GetAt@CHStringArray@@QBE_AVCHString@@H@Z, _GetBuffer@CHString@@QAEPAGH@Z, _GetBufferSetLength@CHString@@QAEPAGH@Z, _GetClassNameW@CRegistry@@QAEPAGXZ, _GetCurrentBinaryKeyValue@CRegistry@@QAEKPAUHKEY__@@PBGPAEPAK@Z, _GetCurrentBinaryKeyValue@CRegistry@@QAEKPBGAAVCHString@@@Z, _GetCurrentBinaryKeyValue@CRegistry@@QAEKPBGPAEPAK@Z, _GetCurrentKeyValue@CRegistry@@QAEKPAUHKEY__@@PBGAAK@Z, _GetCurrentKeyValue@CRegistry@@QAEKPAUHKEY__@@PBGAAVCHString@@@Z, _GetCurrentKeyValue@CRegistry@@QAEKPAUHKEY__@@PBGAAVCHStringArray@@@Z, _GetCurrentKeyValue@CRegistry@@QAEKPBGAAK@Z, _GetCurrentKeyValue@CRegistry@@QAEKPBGAAVCHString@@@Z, _GetCurrentKeyValue@CRegistry@@QAEKPBGAAVCHStringArray@@@Z, _GetCurrentRawKeyValue@CRegistry@@AAEKPAUHKEY__@@PBGPAXPAK3@Z, _GetCurrentRawSubKeyValue@CRegistry@@AAEKPBGPAXPAK2@Z, _GetCurrentSubKeyCount@CRegistry@@QAEKXZ, _GetCurrentSubKeyName@CRegistry@@QAEKAAVCHString@@@Z, _GetCurrentSubKeyPath@CRegistry@@QAEKAAVCHString@@@Z, _GetCurrentSubKeyValue@CRegistry@@QAEKPBGAAK@Z, _GetCurrentSubKeyValue@CRegistry@@QAEKPBGAAVCHString@@@Z, _GetCurrentSubKeyValue@CRegistry@@QAEKPBGPAXPAK@Z, _GetData@CHPtrArray@@QAEPAPAXXZ, _GetData@CHPtrArray@@QBEPAPBXXZ, _GetData@CHString@@IBEPAUCHStringData@@XZ, _GetData@CHStringArray@@QAEPAVCHString@@XZ, _GetData@CHStringArray@@QBEPBVCHString@@XZ, _GetLength@CHString@@QBEHXZ, _GetLongestClassStringSize@CRegistry@@QAEKXZ, _GetLongestSubKeySize@CRegistry@@QAEKXZ, _GetLongestValueData@CRegistry@@QAEKXZ, _GetLongestValueName@CRegistry@@QAEKXZ, _GetPlatformID@CRegistry@@CGKXZ, _GetSize@CHPtrArray@@QBEHXZ, _GetSize@CHStringArray@@QBEHXZ, _GetUpperBound@CHPtrArray@@QBEHXZ, _GetUpperBound@CHStringArray@@QBEHXZ, _GetValueCount@CRegistry@@QAEKXZ, _GethKey@CRegistry@@QAEPAUHKEY__@@XZ, _Init@CHString@@IAEXXZ, _InsertAt@CHPtrArray@@QAEXHPAV1@@Z, _InsertAt@CHPtrArray@@QAEXHPAXH@Z, _InsertAt@CHStringArray@@QAEXHPAV1@@Z, _InsertAt@CHStringArray@@QAEXHPBGH@Z, _IsEmpty@CHString@@QBEHXZ, _Left@CHString@@QBE_AV1@H@Z, _LoadStringW@CHString@@IAEHIPAGI@Z, _LoadStringW@CHString@@QAEHI@Z, _LocateKeyByNameOrValueName@CRegistrySearch@@QAEHPAUHKEY__@@PBG1PAPBGKAAVCHString@@3@Z, _LockBuffer@CHString@@QAEPAGXZ, _MakeLower@CHString@@QAEXXZ, _MakeReverse@CHString@@QAEXXZ, _MakeUpper@CHString@@QAEXXZ, _Mid@CHString@@QBE_AV1@H@Z, _Mid@CHString@@QBE_AV1@HH@Z, _NextSubKey@CRegistry@@QAEKXZ, _Open@CRegistry@@QAEJPAUHKEY__@@PBGK@Z, _OpenAndEnumerateSubKeys@CRegistry@@QAEJPAUHKEY__@@PBGK@Z, _OpenCurrentUser@CRegistry@@QAEKPBGK@Z, _OpenLocalMachineKeyAndReadValue@CRegistry@@QAEJPBG0AAVCHString@@@Z, _OpenSubKey@CRegistry@@AAEKXZ, _PrepareToReOpen@CRegistry@@AAEXXZ, _Release@CHString@@IAEXXZ, _Release@CHString@@KGXPAUCHStringData@@@Z, _ReleaseBuffer@CHString@@QAEXH@Z, _RemoveAll@CHPtrArray@@QAEXXZ, _RemoveAll@CHStringArray@@QAEXXZ, _RemoveAt@CHPtrArray@@QAEXHH@Z, _RemoveAt@CHStringArray@@QAEXHH@Z, _ReverseFind@CHString@@QBEHG@Z, _RewindSubKeys@CRegistry@@QAEXXZ, _Right@CHString@@QBE_AV1@H@Z, _SafeStrlen@CHString@@KGHPBG@Z, _SearchAndBuildList@CRegistrySearch@@QAEHVCHString@@AAVCHPtrArray@@00HPAUHKEY__@@@Z, _SetAt@CHPtrArray@@QAEXHPAX@Z, _SetAt@CHString@@QAEXHG@Z, _SetAt@CHStringArray@@QAEXHPBG@Z, _SetAtGrow@CHPtrArray@@QAEXHPAX@Z, _SetAtGrow@CHStringArray@@QAEXHPBG@Z, _SetCHStringResourceHandle@@YGXPAUHINSTANCE__@@@Z, _SetCurrentKeyValue@CRegistry@@QAEKPAUHKEY__@@PBGAAK@Z, _SetCurrentKeyValue@CRegistry@@QAEKPAUHKEY__@@PBGAAVCHString@@@Z, _SetCurrentKeyValue@CRegistry@@QAEKPAUHKEY__@@PBGAAVCHStringArray@@@Z, _SetCurrentKeyValue@CRegistry@@QAEKPBGAAK@Z, _SetCurrentKeyValue@CRegistry@@QAEKPBGAAVCHString@@@Z, _SetCurrentKeyValue@CRegistry@@QAEKPBGAAVCHStringArray@@@Z, _SetCurrentKeyValueExpand@CRegistry@@QAEKPAUHKEY__@@PBGAAVCHString@@@Z, _SetDefaultValues@CRegistry@@AAEXXZ, _SetSize@CHPtrArray@@QAEXHH@Z, _SetSize@CHStringArray@@QAEXHH@Z, _SpanExcluding@CHString@@QBE_AV1@PBG@Z, _SpanIncluding@CHString@@QBE_AV1@PBG@Z, _TrimLeft@CHString@@QAEXXZ, _TrimRight@CHString@@QAEXXZ, _UnlockBuffer@CHString@@QAEXXZ, _myRegCreateKeyEx@CRegistry@@AAEJPAUHKEY__@@PBGKPAGKKPAU_SECURITY_ATTRIBUTES@@PAPAU2@PAK@Z, _myRegDeleteKey@CRegistry@@AAEJPAUHKEY__@@PBG@Z, _myRegDeleteValue@CRegistry@@AAEJPAUHKEY__@@PBG@Z, _myRegEnumKey@CRegistry@@AAEJPAUHKEY__@@KPAGK@Z, _myRegEnumValue@CRegistry@@AAEJPAUHKEY__@@KPAGPAK22PAE2@Z, _myRegOpenKeyEx@CRegistry@@AAEJPAUHKEY__@@PBGKKPAPAU2@@Z, _myRegQueryInfoKey@CRegistry@@AAEJPAUHKEY__@@PAGPAK22222222PAU_FILETIME@@@Z, _myRegQueryValueEx@CRegistry@@AAEJPAUHKEY__@@PBGPAK2PAE2@Z, _myRegSetValueEx@CRegistry@@AAEJPAUHKEY__@@PBGKKPBEK@Z, _s_dwPlatform@CRegistry@@0KA

Code:

File size: 3419136 bytes

MD5...: 11845bd09a31ff353bfca16716c365ac

SHA1..: 42c08320a5537316e907cd779fa3c5f179e02108

SHA256: 90d92d28901ac93445d957abb967b918c25f4225932920b40cd61c911a0749aa

SHA512: 8eccffd9d9d78026ca4a5bc3b3a490dd774f72390d3cf8cfc0a2db3b8cc3df06

f3e028977afcd5d5df54ddfcb4cd49b27118009172b4aec639ffa2d63aa32ee4

ssdeep: 49152:D0dv8fwiV/U5EDOah8SAmiN30tcOMJEsr0tb7A3nzKXeWwP7nfawhIcp+O

TPu:D2vuaahLAmtcbSHI6eW8nCpH

PEiD..: BobSoft Mini Delphi -> BoB / BobSoft

TrID..: File type identification

Win32 Executable Borland Delphi 7 (54.2%)

Win32 Executable Borland Delphi 5 (36.5%)

InstallShield setup (3.4%)

Win32 EXE PECompact compressed (generic) (3.3%)

Win32 Executable Delphi generic (1.1%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x667314

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

CODE 0x1000 0x266360 0x266400 6.54 2ad565e589dac5c69fcb8ed888a64c2f

DATA 0x268000 0x8a40 0x8c00 5.98 06c5efb33234f547ff62da1dce46b5db

BSS 0x271000 0x10995 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 0x282000 0x3f50 0x4000 4.99 07d7f332466bfa93179258fdf40e1a3e

.tls 0x286000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x287000 0x18 0x200 0.21 e081880e448ab39fed92bde011580804

.reloc 0x288000 0x24528 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x2ad000 0xcf600 0xcf600 4.38 a12b405ffd2a4eb91937eb5d79e37004

( 30 imports )

> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryA, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCurrentDirectoryA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, CreateDirectoryA, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle

> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen

> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA

> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegFlushKey, RegEnumKeyExA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, IsTextUnicode

> kernel32.dll: lstrlenW, lstrlenA, lstrcpynA, lstrcpyA, lstrcmpiA, lstrcmpW, lstrcmpA, WritePrivateProfileStringA, WriteFileEx, WriteFile, WinExec, WideCharToMultiByte, WaitForSingleObject, WaitForMultipleObjects, VirtualUnlock, VirtualQuery, VirtualLock, VirtualFree, VirtualAlloc, TerminateProcess, SystemTimeToTzSpecificLocalTime, SystemTimeToFileTime, SuspendThread, SleepEx, Sleep, SizeofResource, SetVolumeLabelA, SetThreadPriority, SetThreadLocale, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesA, SetEvent, SetErrorMode, SetEndOfFile, SearchPathA, ResumeThread, ResetEvent, RemoveDirectoryA, ReleaseMutex, ReadFile, QueryPerformanceFrequency, QueryPerformanceCounter, MultiByteToWideChar, MulDiv, MoveFileA, LockResource, LocalFileTimeToFileTime, LoadResource, LoadLibraryExA, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVolumeInformationA, GetVersionExA, GetVersion, GetUserDefaultLCID, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetTempFileNameA, GetSystemTime, GetSystemInfo, GetSystemDirectoryA, GetSystemDefaultLCID, GetStringTypeExA, GetStdHandle, GetShortPathNameA, GetProfileStringA, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLogicalDrives, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileTime, GetFileSize, GetFileAttributesW, GetFileAttributesA, GetExitCodeThread, GetEnvironmentVariableA, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetComputerNameA, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindNextChangeNotification, FindFirstFileA, FindFirstChangeNotificationA, FindCloseChangeNotification, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, FileTimeToDosDateTime, ExpandEnvironmentStringsA, ExitThread, EnumSystemCodePagesA, EnumCalendarInfoA, EnterCriticalSection, DosDateTimeToFileTime, DeviceIoControl, DeleteFileA, DeleteCriticalSection, CreateThread, CreateMutexA, CreateFileW, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringA, CompareFileTime, CloseHandle

> mpr.dll: WNetGetConnectionA, WNetDisconnectDialog, WNetConnectionDialog

> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA

> gdi32.dll: UnrealizeObject, StretchDIBits, StretchBlt, StartPage, StartDocA, SetWindowOrgEx, SetWindowExtEx, SetWinMetaFileBits, SetViewportOrgEx, SetViewportExtEx, SetTextColor, SetTextAlign, SetStretchBltMode, SetRectRgn, SetROP2, SetPixelV, SetPixel, SetMapMode, SetEnhMetaFileBits, SetDIBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SetAbortProc, SelectPalette, SelectObject, SelectClipRgn, SaveDC, RoundRect, RestoreDC, ResizePalette, Rectangle, RectVisible, RealizePalette, Polyline, Polygon, PolyPolyline, PolyBezier, PlayEnhMetaFile, PatBlt, OffsetClipRgn, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32W, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetOutlineTextMetricsA, GetObjectType, GetObjectA, GetNearestPaletteIndex, GetNearestColor, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileDescriptionA, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipRgn, GetClipBox, GetBrushOrgEx, GetBkColor, GetBitmapBits, GdiFlush, ExtTextOutW, ExtTextOutA, ExtFloodFill, ExtCreatePen, ExcludeClipRect, EnumObjects, EnumFontFamiliesA, EndPage, EndDoc, Ellipse, DeleteObject, DeleteMetaFile, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRectRgnIndirect, CreateRectRgn, CreatePenIndirect, CreatePen, CreatePatternBrush, CreatePalette, CreateICA, CreateHalftonePalette, CreateFontIndirectA, CreateFontA, CreateEnhMetaFileA, CreateDIBitmap, CreateDIBSection, CreateDCA, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, CombineRgn, CloseEnhMetaFile, BitBlt

> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, WaitForInputIdle, VkKeyScanA, ValidateRect, UpdateWindow, UnregisterClassA, UnionRect, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenuEx, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, ShowCaret, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRectEmpty, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetKeyboardState, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCaretPos, SetCapture, SetActiveWindow, SendMessageA, SendDlgItemMessageA, ScrollWindowEx, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharBuffA, OemToCharA, MsgWaitForMultipleObjectsEx, MsgWaitForMultipleObjects, MessageBoxW, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LockWindowUpdate, LoadStringA, LoadKeyboardLayoutA, LoadImageA, LoadIconA, LoadCursorFromFileA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsClipboardFormatAvailable, IsChild, IsCharAlphaNumericA, IsCharAlphaA, InvalidateRect, IntersectRect, InsertMenuItemW, InsertMenuItemA, InsertMenuA, InflateRect, HideCaret, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetUpdateRect, GetTopWindow, GetTabbedTextExtentA, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessageTime, GetMessagePos, GetMessageA, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenuDefaultItem, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardOwner, GetClipboardFormatNameA, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCaretPos, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FlashWindow, FindWindowExA, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EnumClipboardFormats, EnumChildWindows, EndPaint, EndDeferWindowPos, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DestroyCaret, DestroyAcceleratorTable, DeleteMenu, DeferWindowPos, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIconFromResource, CreateIcon, CreateCaret, CreateAcceleratorTableA, CopyImage, CloseClipboard, ClipCursor, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CallWindowProcA, CallNextHookEx, BringWindowToTop, BeginPaint, BeginDeferWindowPos, AppendMenuA, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout

> kernel32.dll: Sleep

> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit

> ole32.dll: CreateStreamOnHGlobal, CreateILockBytesOnHGlobal, GetHGlobalFromILockBytes, OleGetIconOfClass, IsAccelerator, ReleaseStgMedium, OleIsRunning, OleDraw, OleSetMenuDescriptor, OleFlushClipboard, OleGetClipboard, OleSetClipboard, DoDragDrop, RevokeDragDrop, RegisterDragDrop, OleSetContainedObject, OleSave, OleLoad, OleCreateFromFile, OleCreateLinkToFile, OleCreateLinkFromData, OleCreateFromData, OleCreate, OleUninitialize, OleInitialize, CreateBindCtx, StgOpenStorageOnILockBytes, StgCreateDocfileOnILockBytes, StgCreateDocfile, CreateDataAdviseHolder, CoTaskMemFree, CoTaskMemAlloc, ProgIDFromCLSID, CLSIDFromString, StringFromCLSID, CoCreateInstance, CoLockObjectExternal, CoGetClassObject, CoUninitialize, CoInitializeEx, CoInitialize, IsEqualGUID

> oleaut32.dll: GetErrorInfo, GetActiveObject, SysFreeString

> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_LoadImageA, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls

> imm32.dll: ImmSetCompositionWindow, ImmSetCompositionFontA, ImmGetCompositionStringA, ImmReleaseContext, ImmGetContext

> winspool.drv: OpenPrinterA, EnumPrintersA, DocumentPropertiesA, ClosePrinter

> shell32.dll: Shell_NotifyIconA, ShellExecuteExA, ShellExecuteA, SHGetFileInfoA, SHFreeNameMappings, SHFileOperationA, DragQueryFileA, DragFinish, DragAcceptFiles

> shell32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc, SHGetDesktopFolder, SHGetDataFromIDListA, SHChangeNotify, SHBrowseForFolderA

> comdlg32.dll: PrintDlgA, ChooseFontA, ReplaceTextA, FindTextA, ChooseColorA, GetSaveFileNameA, GetOpenFileNameA

> shell32.dll: -, -

> kernel32.dll: MulDiv

> shell32.dll: ShellExecuteA

> comctl32.dll: UninitializeFlatSB, FlatSB_SetScrollProp, InitializeFlatSB, FlatSB_SetScrollInfo, FlatSB_GetScrollInfo

> oledlg.dll: OleUIObjectPropertiesA

> LZ32.DLL: LZOpenFileA, LZCopy, LZClose

> Shell32.dll: -, -, SHFormatDrive

> winmm.dll: timeGetTime

> user32.dll: DdeCmpStringHandles, DdeFreeStringHandle, DdeQueryStringA, DdeCreateStringHandleA, DdeGetLastError, DdeFreeDataHandle, DdeUnaccessData, DdeAccessData, DdeCreateDataHandle, DdeClientTransaction, DdeNameService, DdePostAdvise, DdeSetUserHandle, DdeQueryConvInfo, DdeDisconnect, DdeConnect, DdeUninitialize, DdeInitializeA

( 0 exports )

Was ist denn nu was? :eek:. Ich meinte eigendlich vollständig posten. Hast du überall einen Strich - hinter den Virenscannern gesehen?

Naja warten wir mal was du nach dem CCleaner zu berichten weisst

Oh je jetzt ist Redwolf ganz blau. :rolleyes:

Ja überall standen Striche.

CCleaner habe ich zwei Mal laufen lassen und nun kommt keine Fehlermeldung. Aber eine LOG-Datei gibts hierzu nicht oder?

OK, einen Virusbefall kann man nicht ausschließen, denn dein System zeigt ja nach deinen Angaben offensichtlich Auffälligkeiten... versuchen wir das problem mal einzukreisen. Aber zuvor machen wir mal einen Rootkit Scan. In Verbindung mit einem Rootkit erkennt deine AV - Software einen Virus nämlich nicht. Lade dir bitte mal Gmer runter
h**p://www.gmer.net/gmer.zip
und lass einen Scan laufen. Den postest du bitte hier.

Code:

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-02-23 20:31:20

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.14 ----
 

SSDT            F7DFB444                                                                                                                            ZwCreateThread

SSDT            F7DFB430                                                                                                                            ZwOpenProcess

SSDT            F7DFB435                                                                                                                            ZwOpenThread

SSDT            F7DFB43F                                                                                                                            ZwTerminateProcess

SSDT            F7DFB43A                                                                                                                            ZwWriteVirtualMemory
 

---- Devices - GMER 1.0.14 ----
 

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                              snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                              snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                              snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.14 ----
 

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50B9C5C2-2ABC-6F65-35CF-D5A3074FF42A}                     

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50B9C5C2-2ABC-6F65-35CF-D5A3074FF42A}@iakidfmjdmfgmfphdb  0x6B 0x61 0x70 0x66 ...

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50B9C5C2-2ABC-6F65-35CF-D5A3074FF42A}@hamijpmpnhmdohoo    0x6B 0x61 0x70 0x66 ...
 

---- EOF - GMER 1.0.14 ----

Ich seh nix auffälliges. scheint alles ok zu sein. Hast du in letzter Zeit irgendwelche Hardware installiert oder Softwareupdates gemacht ( Treiber etc ) ?

Schau doch mal in deinen Router. Im Statusbericht, neben vielen Angaben zu ADSL Status müssten auch DNS Einträge zu finden sein. Kannst du die hier mal posten bitte ? ( IP Nummern )