Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Systemstörung in Windows 7 - langsamer Rechner und Norton außer Betrieb (https://www.trojaner-board.de/81118-systemstoerung-windows-7-langsamer-rechner-norton-ausser-betrieb.html)

Chris4You 05.01.2010 10:55
Hi,

das ist ein 64-Bit-System, da gibt es meines Wissens keinen Rootkit der drunter läuft, auch die meiste Malware hat da ein Problem, genau wie die meisten Bereinigungstools, daher wird das sehr schwierig werden...


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:
C:\Windows\SysWOW64\acedrv08.dll
C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe
C:\Program Files (x86)\ICQToolbar\toolbaru.dll
C:\Program Files (x86)\Save Tube Video Company\SaveTubeVideo\SaveTubeVideo.dll
C:\Programs\PartyGaming\PartyPoker\RunApp.exe
C:\Users\K*n S*r\Desktop\w71fg6o3.exe
C:\Windows\SysWOW64\wbem\vds.mof
C:\Windows\SysWow64\msjetoledb40.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Welche Prozesse im Taskmanager sind seltsam...?
Ist "Save Tube Video" wieder da?

chris

Labbeduddel 05.01.2010 18:30
Ich glaube, die Virustotal-Scans bringen alle nix. Hier einer nach dem anderen:

Datei acedrv08.dll

Code:
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.48        2010.01.05        -
AhnLab-V3        5.0.0.2        2010.01.05        -
AntiVir        7.9.1.122        2009.12.31        -
Antiy-AVL        2.0.3.7        2010.01.05        -
Authentium        5.2.0.5        2010.01.05        -
Avast        4.8.1351.0        2010.01.05        -
AVG        8.5.0.430        2010.01.04        -
BitDefender        7.2        2010.01.05        -
CAT-QuickHeal        10.00        2010.01.05        -
ClamAV        0.94.1        2010.01.05        -
Comodo        3476        2010.01.05        -
DrWeb        5.0.1.12222        2010.01.05        -
eSafe        7.0.17.0        2010.01.05        -
eTrust-Vet        35.1.7216        2010.01.05        -
F-Prot        4.5.1.85        2010.01.05        -
F-Secure        9.0.15370.0        2010.01.05        -
Fortinet        4.0.14.0        2010.01.05        -
GData        19        2010.01.05        -
Ikarus        T3.1.1.79.0        2010.01.05        -
Jiangmin        13.0.900        2010.01.05        -
K7AntiVirus        7.10.939        2010.01.05        -
Kaspersky        7.0.0.125        2010.01.05        -
McAfee        5852        2010.01.05        -
McAfee+Artemis        5852        2010.01.05        -
McAfee-GW-Edition        6.8.5        2010.01.05        -
Microsoft        1.5302        2010.01.05        -
NOD32        4745        2010.01.05        -
Norman        6.04.03        2010.01.05        -
nProtect        2009.1.8.0        2010.01.05        -
Panda        10.0.2.2        2010.01.05        -
PCTools        7.0.3.5        2010.01.05        -
Prevx        3.0        2010.01.05        -
Rising        22.29.01.04        2010.01.05        -
Sophos        4.49.0        2010.01.05        -
Sunbelt        3.2.1858.2        2010.01.05        -
Symantec        20091.2.0.41        2010.01.05        -
TheHacker        6.5.0.3.132        2010.01.05        -
TrendMicro        9.120.0.1004        2010.01.05        -
VBA32        3.12.12.1        2010.01.05        -
ViRobot        2010.1.5.2122        2010.01.05        -
VirusBuster        5.0.21.0        2010.01.05        -
weitere Informationen
File size: 89312 bytes
MD5  : 14305f7451c6c8b8db354314efdb0776
SHA1  : d31709a82e7b0a398c2a73e481eb9103f06fc27b
SHA256: e51dd3c4f6327065a1b127c3999485004829c3c05e12960d08f3fe31da99ffec
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x38F9
timedatestamp.....: 0x4565C2E7 (Thu Nov 23 16:48:55 2006)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xBD54 0xC000 6.67 78459a2a4ceec480b51363b2cda1f0d2
.rdata 0xD000 0x1CF9 0x2000 5.20 5a89abf9d12c61fb86061851668e02d5
.data 0xF000 0x203140 0x1000 3.69 27a53e20708edce0ccc1de7d8f8709f1
.rsrc 0x213000 0xB0 0x1000 3.06 ebac935385099b99db0408d04e15d722
.reloc 0x214000 0x27AC 0x3000 2.76 aad3f2f169d88643b43cb1bbeeae55f2

( 1 imports )

> kernel32.dll: CloseHandle, DeviceIoControl, CreateFileA, GetProcAddress, GetModuleHandleA, WriteProcessMemory, GetCurrentProcess, GetCurrentThreadId, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetLastError, InterlockedDecrement, Sleep, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, WriteFile, LeaveCriticalSection, EnterCriticalSection, LoadLibraryA, InitializeCriticalSection, VirtualAlloc, HeapReAlloc, RtlUnwind, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, HeapSize

( 1 exports )

> repatch
TrID  : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 1536:DGSNCoOILbG5+gyipXsxgFLMCiYVdtDWiM:qSNCoOIfAAP2dtu
PEiD  : -
RDS  : NSRL Reference Data Set
-
Datei ICQ Service.exe

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.48        2010.01.05        -
AhnLab-V3        5.0.0.2        2010.01.05        -
AntiVir        7.9.1.122        2009.12.31        -
Antiy-AVL        2.0.3.7        2010.01.05        -
Authentium        5.2.0.5        2010.01.05        -
Avast        4.8.1351.0        2010.01.05        -
AVG        8.5.0.430        2010.01.04        -
BitDefender        7.2        2010.01.05        -
CAT-QuickHeal        10.00        2010.01.05        -
ClamAV        0.94.1        2010.01.05        -
Comodo        3476        2010.01.05        -
DrWeb        5.0.1.12222        2010.01.05        -
eSafe        7.0.17.0        2010.01.05        -
eTrust-Vet        35.1.7216        2010.01.05        -
F-Prot        4.5.1.85        2010.01.05        -
F-Secure        9.0.15370.0        2010.01.05        -
Fortinet        4.0.14.0        2010.01.05        -
GData        19        2010.01.05        -
Ikarus        T3.1.1.79.0        2010.01.05        -
Jiangmin        13.0.900        2010.01.05        -
K7AntiVirus        7.10.939        2010.01.05        -
Kaspersky        7.0.0.125        2010.01.05        -
McAfee        5852        2010.01.05        -
McAfee+Artemis        5852        2010.01.05        -
McAfee-GW-Edition        6.8.5        2010.01.05        -
Microsoft        1.5302        2010.01.05        -
NOD32        4745        2010.01.05        -
Norman        6.04.03        2010.01.05        -
nProtect        2009.1.8.0        2010.01.05        -
Panda        10.0.2.2        2010.01.05        -
PCTools        7.0.3.5        2010.01.05        -
Prevx        3.0        2010.01.05        -
Rising        22.29.01.04        2010.01.05        -
Sophos        4.49.0        2010.01.05        -
Sunbelt        3.2.1858.2        2010.01.05        -
Symantec        20091.2.0.41        2010.01.05        -
TheHacker        6.5.0.3.132        2010.01.05        -
TrendMicro        9.120.0.1004        2010.01.05        -
VBA32        3.12.12.1        2010.01.05        -
ViRobot        2010.1.5.2122        2010.01.05        -
VirusBuster        5.0.21.0        2010.01.05        -
weitere Informationen
File size: 222968 bytes
MD5...: f88e5dc5ca4c3f1aeb32169ab20d0b5a
SHA1..: 4169949f2bbf13551587304df3b887d100c80662
SHA256: a060c4230cac4b15642be5201f31bc07dc59161e8a2c61ceb373a80810b55e41
ssdeep: 3072:6mU9uPt6BHluXWGcQTfYmvmxTizzVQLrXlnmWpas5/HQWcLP39R7SA0kYa7
aob52:6mUE2lumGbJvETEzeLrXlmaK3GA5+oHg
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11496
timedatestamp.....: 0x4a2429b6 (Mon Jun 01 19:19:18 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x26f6a 0x27000 6.64 ea25afd2ccd4e4f6625247cbd78e425f
.rdata 0x28000 0xb80e 0xba00 6.05 8031e4c028ca12c8561d031b03ab0f4e
.data 0x34000 0x38fc 0x1800 3.43 2c8624e361788487251cb6024c4aa91d
.rsrc 0x38000 0xbbc 0xc00 4.24 450117dc4c889314f0f66a7d18e16f9a

( 12 imports )
> urlmon.dll: URLDownloadToFileW
> WININET.dll: DeleteUrlCacheEntryW
> SETUPAPI.dll: SetupIterateCabinetW
> KERNEL32.dll: FreeLibrary, LoadLibraryExW, GetCommandLineW, ReleaseMutex, FindClose, FindNextFileW, RemoveDirectoryW, FindFirstFileW, WideCharToMultiByte, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, GetLocaleInfoW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, CreateFileW, InitializeCriticalSectionAndSpinCount, LoadLibraryA, lstrcmpiW, InterlockedIncrement, GetCurrentThread, GetCurrentProcess, CloseHandle, GetModuleHandleW, GetProcAddress, InterlockedDecrement, DeleteCriticalSection, InitializeCriticalSection, RaiseException, Sleep, MoveFileExW, CreateDirectoryW, DeleteFileW, MoveFileW, GetModuleFileNameW, GetCurrentThreadId, lstrlenW, CreateEventW, WaitForSingleObject, LocalFree, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, GetLastError, lstrcpynW, SetEndOfFile, CreateFileA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, SetFilePointer, ReadFile, FlushFileBuffers, VirtualAlloc, GetConsoleMode, GetConsoleCP, SetStdHandle, IsValidCodePage, GetOEMCP, GetACP, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, SetLastError, CreateMutexW, MultiByteToWideChar, CreateThread, GetStartupInfoW, RtlUnwind, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, SetFileAttributesW, GetFileAttributesW, LCMapStringA, LCMapStringW, GetCPInfo, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree
> USER32.dll: GetMessageW, DispatchMessageW, PostThreadMessageW, FindWindowW, CharNextW, LoadStringW
> ADVAPI32.dll: ControlService, DeleteService, CreateServiceW, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, OpenThreadToken, OpenProcessToken, GetTokenInformation, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, IsValidSid, GetLengthSid, CopySid, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, CloseServiceHandle, RegOpenKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegCloseKey, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo
> ole32.dll: CoRevokeClassObject, CoRegisterClassObject, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, StringFromGUID2, CoInitializeSecurity, CoInitialize, CoUninitialize
> SHELL32.dll: SHGetFolderPathW
> OLEAUT32.dll: -, -, -, -, -, -, -
> SHLWAPI.dll: PathAppendW
> msi.dll: -
> CRYPT32.dll: CertCompareCertificate, CertFreeCertificateContext

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....:
copyright....: Copyright 2007
product......: ICQIEUpdater Module
description..: ICQIEUpdater Module
original name: ICQ Service.EXE
internal name: ICQIEUpdater
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: ICQ
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 8:20 PM 6/1/2009
verified.....: -
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
Datei msjetoledb40.dll

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.48        2010.01.05        -
AhnLab-V3        5.0.0.2        2010.01.05        -
AntiVir        7.9.1.122        2009.12.31        -
Antiy-AVL        2.0.3.7        2010.01.05        -
Authentium        5.2.0.5        2010.01.05        -
Avast        4.8.1351.0        2010.01.05        -
AVG        8.5.0.430        2010.01.04        -
BitDefender        7.2        2010.01.05        -
CAT-QuickHeal        10.00        2010.01.05        -
ClamAV        0.94.1        2010.01.05        -
Comodo        3476        2010.01.05        -
DrWeb        5.0.1.12222        2010.01.05        -
eSafe        7.0.17.0        2010.01.05        -
eTrust-Vet        35.1.7216        2010.01.05        -
F-Prot        4.5.1.85        2010.01.05        -
F-Secure        9.0.15370.0        2010.01.05        -
Fortinet        4.0.14.0        2010.01.05        -
GData        19        2010.01.05        -
Ikarus        T3.1.1.79.0        2010.01.05        -
Jiangmin        13.0.900        2010.01.05        -
K7AntiVirus        7.10.939        2010.01.05        -
Kaspersky        7.0.0.125        2010.01.05        -
McAfee        5852        2010.01.05        -
McAfee+Artemis        5852        2010.01.05        -
McAfee-GW-Edition        6.8.5        2010.01.05        -
Microsoft        1.5302        2010.01.05        -
NOD32        4745        2010.01.05        -
Norman        6.04.03        2010.01.05        -
nProtect        2009.1.8.0        2010.01.05        -
Panda        10.0.2.2        2010.01.05        -
PCTools        7.0.3.5        2010.01.05        -
Prevx        3.0        2010.01.05        -
Rising        22.29.01.04        2010.01.05        -
Sophos        4.49.0        2010.01.05        -
Sunbelt        3.2.1858.2        2010.01.05        -
Symantec        20091.2.0.41        2010.01.05        -
TheHacker        6.5.0.3.132        2010.01.05        -
TrendMicro        9.120.0.1004        2010.01.05        -
VBA32        3.12.12.1        2010.01.05        -
ViRobot        2010.1.5.2122        2010.01.05        -
VirusBuster        5.0.21.0        2010.01.05        -
weitere Informationen
File size: 364544 bytes
MD5...: 5a72f87f75a5ea7b46dc3ad87302fe00
SHA1..: 2c1f6f437277b3932cf32c700f13234e9cd0a1e7
SHA256: 2dae6fa1f162fe1f7235bae89b05e59cd6003e30385980c0513431d262dbb4e9
ssdeep: 6144:hJFY3BT1ai9WIgw+gQYzRqE9tiu8ROomnE:hJFY3BT1folFR/
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa4a0
timedatestamp.....: 0x49246e49 (Wed Nov 19 19:51:37 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3eb77 0x3f000 6.50 ab239f1fe1ff4727c2792750eaba6b84
.rdata 0x40000 0x11ffc 0x12000 4.10 a48ab8fa217ec6a2502f5ce9da5cad8e
.data 0x52000 0x21b0 0x2000 4.85 1affea8e0b711c6954ed84d4248ea044
.rsrc 0x55000 0x6d8 0x1000 1.76 2f4e9ae76032d4f1cb0748b61b5634a5
.reloc 0x56000 0x3b54 0x4000 6.40 28def9cfa730a329b9c6a536b4117f9a

( 8 imports )
> ADVAPI32.dll: RegOpenKeyExW, RegOpenKeyExA, RegCloseKey
> KERNEL32.dll: MultiByteToWideChar, GetProcAddress, FreeLibrary, LoadLibraryExA, GetCurrentProcessId, TerminateProcess, GetCurrentProcess, WideCharToMultiByte, SetUnhandledExceptionFilter, GetLastError, GetSystemTimeAsFileTime, InterlockedExchange, Sleep, InterlockedCompareExchange, RtlUnwind, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, UnhandledExceptionFilter, InitializeCriticalSection
> msjet40.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msjter40.dll: -, -, -, -
> msvcrt.dll: memcmp, _onexit, __dllonexit, __1type_info@@UAE@XZ, __CxxFrameHandler, _adjust_fdiv, rand, calloc, _ltow, time, srand, _amsg_exit, _terminate@@YAXXZ, _initterm, _XcptFilter, _vsnwprintf, _itow, realloc, malloc, free, memset, memcpy, __2@YAPAXI@Z, __3@YAXPAX@Z, _purecall, _wcsicmp
> ole32.dll: CoCreateInstance, CoGetMalloc, CoCreateGuid
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> USER32.dll: MoveWindow, GetDesktopWindow, GetWindowRect, GetParent, SetWindowTextA, SetWindowTextW, SetWindowLongA, SendMessageA, GetWindowTextA, GetWindowTextW, GetDlgItem, EndDialog, GetWindowLongA, DialogBoxParamA, GetSystemMetrics

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllMain, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright (c) Microsoft Corp. 1997-1999
product......: Microsoft_ OLE DB Provider for Jet
description..: Microsoft OLE DB Provider for Jet
original name: MSJETOLEDB40.DLL
internal name: MSJETOLEDB40
file version.: 4.00.9756.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Labbeduddel 05.01.2010 18:34
Datei RunApp.exe

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.48        2010.01.05        -
AhnLab-V3        5.0.0.2        2010.01.05        -
AntiVir        7.9.1.122        2009.12.31        -
Antiy-AVL        2.0.3.7        2010.01.05        -
Authentium        5.2.0.5        2010.01.05        -
Avast        4.8.1351.0        2010.01.05        -
AVG        8.5.0.430        2010.01.04        -
BitDefender        7.2        2010.01.05        -
CAT-QuickHeal        10.00        2010.01.05        -
ClamAV        0.94.1        2010.01.05        -
Comodo        3476        2010.01.05        -
DrWeb        5.0.1.12222        2010.01.05        -
eSafe        7.0.17.0        2010.01.05        -
eTrust-Vet        35.1.7216        2010.01.05        -
F-Prot        4.5.1.85        2010.01.05        -
F-Secure        9.0.15370.0        2010.01.05        -
Fortinet        4.0.14.0        2010.01.05        -
GData        19        2010.01.05        -
Ikarus        T3.1.1.79.0        2010.01.05        -
Jiangmin        13.0.900        2010.01.05        -
K7AntiVirus        7.10.939        2010.01.05        -
Kaspersky        7.0.0.125        2010.01.05        -
McAfee        5852        2010.01.05        -
McAfee+Artemis        5852        2010.01.05        -
McAfee-GW-Edition        6.8.5        2010.01.05        -
Microsoft        1.5302        2010.01.05        -
NOD32        4745        2010.01.05        -
Norman        6.04.03        2010.01.05        -
nProtect        2009.1.8.0        2010.01.05        -
Panda        10.0.2.2        2010.01.05        -
PCTools        7.0.3.5        2010.01.05        -
Prevx        3.0        2010.01.05        -
Rising        22.29.01.04        2010.01.05        -
Sophos        4.49.0        2010.01.05        -
Sunbelt        3.2.1858.2        2010.01.05        -
Symantec        20091.2.0.41        2010.01.05        -
TheHacker        6.5.0.3.132        2010.01.05        -
TrendMicro        9.120.0.1004        2010.01.05        -
VBA32        3.12.12.1        2010.01.05        -
ViRobot        2010.1.5.2122        2010.01.05        -
VirusBuster        5.0.21.0        2010.01.05        -
weitere Informationen
File size: 110592 bytes
MD5...: ac3ed9f87d8753783a0ecaf9c0d77069
SHA1..: 351ad1662801b5367b004a839f500a7b12bec2f2
SHA256: 5c4aa355aee75693deec22f0bed3056e848d64d07ae3449bedddd79403771feb
ssdeep: 1536:+PsFl4NTaK8T9QDgZhvc4+MtnKdtn/dmoebgs0rz3zGkSa:x4UDQQhx+K8t
ngoebVszjGX
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x27ee
timedatestamp.....: 0x43db2689 (Sat Jan 28 08:08:41 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xeb06 0xf000 6.46 c0b904bbb791e4b1fca44786a581fe21
.rdata 0x10000 0x4528 0x5000 4.36 ce7dfbeecc350aaf0e2e151ccb43c02a
.data 0x15000 0x4aa0 0x2000 2.15 9e11c41ee71fd32169695d8e17415b6c
.rsrc 0x1a000 0x30f8 0x4000 3.23 f0a55d859e468c4bdd5a521209c0e446

( 7 imports )
> KERNEL32.dll: RtlUnwind, GetStartupInfoA, GetCommandLineA, ExitProcess, TerminateProcess, HeapFree, HeapAlloc, RaiseException, HeapReAlloc, HeapSize, GetACP, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, SetStdHandle, FlushFileBuffers, SetFilePointer, WriteFile, GetCurrentProcess, SetErrorMode, GetOEMCP, GetCPInfo, GetProcessVersion, GetLastError, WritePrivateProfileStringA, GlobalFlags, lstrcpynA, TlsGetValue, LocalReAlloc, TlsSetValue, EnterCriticalSection, GlobalReAlloc, LeaveCriticalSection, TlsFree, GlobalHandle, DeleteCriticalSection, TlsAlloc, InitializeCriticalSection, LocalAlloc, MulDiv, SetLastError, LoadLibraryA, FreeLibrary, GetVersion, lstrcatA, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, lstrcpyA, GetModuleHandleA, GetProcAddress, LocalFree, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, GlobalUnlock, GlobalFree, LockResource, FindResourceA, LoadResource, CloseHandle, GetModuleFileNameA, GlobalLock, GlobalAlloc, GlobalDeleteAtom, lstrcmpA, lstrcmpiA, GetCurrentThread, GetEnvironmentStringsW, GetCurrentThreadId
> USER32.dll: CopyRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, SendDlgItemMessageA, UpdateWindow, IsDialogMessageA, SetWindowTextA, ShowWindow, LoadStringA, DestroyMenu, ClientToScreen, GetDC, ReleaseDC, BeginPaint, EndPaint, TabbedTextOutA, DrawTextA, GrayStringA, LoadCursorA, GetClassNameA, PtInRect, GetSysColorBrush, GetTopWindow, GetCapture, WinHelpA, wsprintfA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetWindowTextA, GetDlgCtrlID, DefWindowProcA, CreateWindowExA, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, GetWindowPlacement, GetWindowRect, EndDialog, SetActiveWindow, IsWindow, CreateDialogIndirectParamA, DestroyWindow, GetDlgItem, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, MessageBoxA, SetCursor, PostQuitMessage, PostMessageA, EnableWindow, IsIconic, GetSystemMetrics, GetClientRect, DrawIcon, GetSystemMenu, AppendMenuA, SendMessageA, LoadIconA, SystemParametersInfoA, UnregisterClassA
> GDI32.dll: SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, DeleteDC, SetMapMode, GetDeviceCaps, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, DeleteObject, GetObjectA, SetBkColor, SetTextColor, GetClipBox, GetStockObject, SelectObject, RestoreDC, SaveDC, CreateBitmap
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> ADVAPI32.dll: RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegOpenKeyA, RegQueryValueExA, RegCloseKey
> SHELL32.dll: ShellExecuteA
> COMCTL32.dll: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2006
product......: RunApp Application
description..: RunApp MFC Application
original name: RunApp.EXE
internal name: RunApp
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Datei savetubevideo.dll

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.48        2010.01.05        -
AhnLab-V3        5.0.0.2        2010.01.05        -
AntiVir        7.9.1.122        2009.12.31        -
Antiy-AVL        2.0.3.7        2010.01.05        -
Authentium        5.2.0.5        2010.01.05        -
Avast        4.8.1351.0        2010.01.05        -
AVG        8.5.0.430        2010.01.04        -
BitDefender        7.2        2010.01.05        -
CAT-QuickHeal        10.00        2010.01.05        -
ClamAV        0.94.1        2010.01.05        -
Comodo        3476        2010.01.05        -
DrWeb        5.0.1.12222        2010.01.05        -
eSafe        7.0.17.0        2010.01.05        -
eTrust-Vet        35.1.7216        2010.01.05        -
F-Prot        4.5.1.85        2010.01.05        -
F-Secure        9.0.15370.0        2010.01.05        -
Fortinet        4.0.14.0        2010.01.05        -
GData        19        2010.01.05        -
Ikarus        T3.1.1.79.0        2010.01.05        -
Jiangmin        13.0.900        2010.01.05        -
K7AntiVirus        7.10.939        2010.01.05        -
Kaspersky        7.0.0.125        2010.01.05        -
McAfee        5852        2010.01.05        -
McAfee+Artemis        5852        2010.01.05        -
McAfee-GW-Edition        6.8.5        2010.01.05        -
Microsoft        1.5302        2010.01.05        -
NOD32        4745        2010.01.05        -
Norman        6.04.03        2010.01.05        -
nProtect        2009.1.8.0        2010.01.05        -
Panda        10.0.2.2        2010.01.05        -
PCTools        7.0.3.5        2010.01.05        -
Prevx        3.0        2010.01.05        -
Rising        22.29.01.04        2010.01.05        -
Sophos        4.49.0        2010.01.05        -
Sunbelt        3.2.1858.2        2010.01.05        -
Symantec        20091.2.0.41        2010.01.05        -
TheHacker        6.5.0.3.132        2010.01.05        -
TrendMicro        9.120.0.1004        2010.01.05        -
VBA32        3.12.12.1        2010.01.05        -
ViRobot        2010.1.5.2122        2010.01.05        -
VirusBuster        5.0.21.0        2010.01.05        -
weitere Informationen
File size: 692224 bytes
MD5...: 103c16d9042a0a6c324f30b0ceec1b27
SHA1..: 7e7c9924c97005f238e78f99f4d20dab25ba4846
SHA256: 1e8bc6c6528468b8c7577d62ee91132084b460f92adb59cb01e2f7b2421db92d
ssdeep: 12288:dw6VzcFPoDd0IZfcBYr2b79TdbsUHgZ0g1V5i9o5khBhz8:dw65cFPoDd0
Idcf9Tdjis/z
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3aef2
timedatestamp.....: 0x4adebf43 (Wed Oct 21 07:58:59 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x56b88 0x57000 6.70 072aaf96fc55d4eff65c463ec2208d00
.rdata 0x58000 0x16d72 0x17000 4.90 705971f6f07fcf3093b701f3a70a06f3
.data 0x6f000 0xc404 0x4000 4.29 e27f6b889f44f5274562fec7d9faf86a
.rsrc 0x7c000 0x2af1c 0x2b000 3.76 60bf5664c33fdb6f7662fdad004646b6
.reloc 0xa7000 0xa9ca 0xb000 4.92 456740981dae5968978d5e4b76af32bd

( 12 imports )
> SHLWAPI.dll: UrlUnescapeW, UrlEscapeW, PathFindExtensionW, PathFindFileNameW, PathIsUNCW, PathStripToRootW
> WININET.dll: DeleteUrlCacheEntryW, HttpOpenRequestW, InternetConnectW, HttpSendRequestW, InternetReadFile, InternetWriteFile, InternetSetFilePointer, InternetSetStatusCallbackW, InternetOpenW, InternetGetLastResponseInfoW, InternetCloseHandle, HttpQueryInfoW, InternetCrackUrlW, InternetCanonicalizeUrlW, InternetQueryDataAvailable
> KERNEL32.dll: ReadFile, WriteFile, SetFilePointer, FlushFileBuffers, LockFile, UnlockFile, SetEndOfFile, DuplicateHandle, GetCurrentProcess, GetVolumeInformationW, GetFullPathNameW, WritePrivateProfileStringW, RtlUnwind, HeapFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, CreateDirectoryW, HeapAlloc, HeapReAlloc, GetSystemTimeAsFileTime, GetCommandLineA, GetProcessHeap, ExitThread, CreateThread, ExitProcess, HeapSize, SetStdHandle, GetFileType, HeapDestroy, GetThreadLocale, VirtualFree, VirtualAlloc, SetHandleCount, GetStdHandle, GetStartupInfoA, GetConsoleCP, GetConsoleMode, Sleep, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, GetModuleFileNameA, GetTimeZoneInformation, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, GetStringTypeA, GetStringTypeW, CreateFileA, SetEnvironmentVariableA, GlobalFlags, SetErrorMode, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, GlobalHandle, GlobalReAlloc, TlsGetValue, GetCurrentProcessId, GetCurrentThread, ConvertDefaultLocale, EnumResourceLanguagesW, GetLocaleInfoW, CompareStringA, InterlockedExchange, LocalAlloc, SuspendThread, SetEvent, SetThreadPriority, GetFileTime, GetFileSize, CreateFileW, FindFirstFileW, FindClose, FileTimeToLocalFileTime, FileTimeToSystemTime, CreateEventW, GlobalAddAtomW, GlobalFindAtomW, GlobalDeleteAtom, CompareStringW, LoadLibraryA, lstrcmpW, GetVersionExA, FreeResource, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageW, MulDiv, LocalFree, ExpandEnvironmentStringsW, CloseHandle, GetCurrentThreadId, OutputDebugStringW, lstrcpyW, GetSystemTime, WideCharToMultiByte, InterlockedDecrement, InterlockedIncrement, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, lstrlenW, FreeLibrary, GetTempFileNameW, DeleteFileW, GetExitCodeThread, WaitForSingleObject, GetTempPathW, ResetEvent, ResumeThread, OutputDebugStringA, GetModuleFileNameW, SetLastError, LoadLibraryW, GetVersion, GetFileAttributesW, GetProcAddress, GetModuleHandleW, GetModuleHandleA, GetLastError, MultiByteToWideChar, FindResourceW, LoadResource, LockResource, SizeofResource, HeapCreate
> USER32.dll: CharUpperW, GetSysColorBrush, UnregisterClassW, GetWindowThreadProcessId, PostQuitMessage, DestroyMenu, GetMessageW, ValidateRect, GetCursorPos, WindowFromPoint, ShowWindow, MoveWindow, SetWindowTextW, IsDialogMessageW, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, ModifyMenuW, EnableMenuItem, CheckMenuItem, RegisterWindowMessageW, SendDlgItemMessageW, SendDlgItemMessageA, WinHelpW, GetCapture, SetWindowsHookExW, CallNextHookEx, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, GetWindowTextLengthW, GetWindowTextW, GetForegroundWindow, GetLastActivePopup, GetTopWindow, GetMessageTime, GetMessagePos, PeekMessageW, MapWindowPoints, TrackPopupMenu, GetKeyState, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExW, GetClassInfoExW, GetClassInfoW, RegisterClassW, AdjustWindowRectEx, PtInRect, SetWindowPlacement, GetDlgCtrlID, DefWindowProcW, CallWindowProcW, SetWindowLongW, SetWindowPos, SystemParametersInfoA, IsIconic, GetWindow, EndPaint, BeginPaint, GetDC, ClientToScreen, ScreenToClient, UnhookWindowsHookEx, GetDesktopWindow, GetActiveWindow, SetActiveWindow, CreateDialogIndirectParamW, DestroyWindow, IsWindow, GetWindowLongW, GetDlgItem, IsWindowEnabled, GetNextDlgTabItem, EndDialog, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, RedrawWindow, IsWindowVisible, AppendMenuW, CreatePopupMenu, TranslateMessage, DispatchMessageW, GetComboBoxInfo, KillTimer, SetFocus, GetFocus, SetTimer, CharNextW, CharLowerBuffW, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, ReleaseDC, GetWindowDC, GetClientRect, EqualRect, GetSysColor, DrawIconEx, GetSystemMetrics, SystemParametersInfoW, FrameRect, CopyRect, MessageBoxW, PostMessageW, LoadImageW, MessageBeep, LoadIconW, EnableWindow, GetParent, InvalidateRect, GetWindowRect, SendMessageW, DrawFocusRect, InflateRect, SetRectEmpty, LoadCursorW, SetCursor, GetWindowPlacement, UnregisterClassA
> GDI32.dll: ScaleWindowExtEx, SetWindowExtEx, CreateBitmap, DeleteDC, GetStockObject, CreateFontIndirectW, GetObjectW, SetWindowOrgEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, GetClipBox, SetMapMode, SetTextColor, SetBkMode, SetBkColor, RestoreDC, SaveDC, GetDeviceCaps, Escape, ExtTextOutW, TextOutW, RectVisible, PtVisible, BitBlt, CreateCompatibleBitmap, GetTextExtentPoint32W, CreateCompatibleDC, CreateSolidBrush, DeleteObject
> COMDLG32.dll: GetFileTitleW
> WINSPOOL.DRV: DocumentPropertiesW, OpenPrinterW, ClosePrinter
> ADVAPI32.dll: RegQueryValueW, RegEnumKeyW, RegEnumValueW, RegQueryValueExW, RegOpenKeyW, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW
> SHELL32.dll: ShellExecuteExW, ShellExecuteW
> ole32.dll: CoUninitialize, CoInitialize, CoTaskMemAlloc, CoTaskMemRealloc, CoTaskMemFree, CoCreateInstance, StringFromGUID2, StringFromCLSID
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> urlmon.dll: URLDownloadToFileW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: Save Tube Video Company
copyright....: Copyright 2009
product......: Save Tube Video
description..: Save Tube Video
original name: SaveTubeVideo.dll
internal name: Save Tube Video
file version.: 1, 0, 0, 1
comments.....: Save Tube Video
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)
Datei vds.mof

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.48        2010.01.05        -
AhnLab-V3        5.0.0.2        2010.01.05        -
AntiVir        7.9.1.122        2009.12.31        -
Antiy-AVL        2.0.3.7        2010.01.05        -
Authentium        5.2.0.5        2010.01.05        -
Avast        4.8.1351.0        2010.01.05        -
AVG        8.5.0.430        2010.01.04        -
BitDefender        7.2        2010.01.05        -
CAT-QuickHeal        10.00        2010.01.05        -
ClamAV        0.94.1        2010.01.05        -
Comodo        3476        2010.01.05        -
DrWeb        5.0.1.12222        2010.01.05        -
eSafe        7.0.17.0        2010.01.05        -
eTrust-Vet        35.1.7216        2010.01.05        -
F-Prot        4.5.1.85        2010.01.05        -
F-Secure        9.0.15370.0        2010.01.05        -
Fortinet        4.0.14.0        2010.01.05        -
GData        19        2010.01.05        -
Ikarus        T3.1.1.79.0        2010.01.05        -
Jiangmin        13.0.900        2010.01.05        -
K7AntiVirus        7.10.939        2010.01.05        -
Kaspersky        7.0.0.125        2010.01.05        -
McAfee        5852        2010.01.05        -
McAfee+Artemis        5852        2010.01.05        -
McAfee-GW-Edition        6.8.5        2010.01.05        -
Microsoft        1.5302        2010.01.05        -
NOD32        4745        2010.01.05        -
Norman        6.04.03        2010.01.05        -
nProtect        2009.1.8.0        2010.01.05        -
Panda        10.0.2.2        2010.01.05        -
PCTools        7.0.3.5        2010.01.05        -
Prevx        3.0        2010.01.05        -
Rising        22.29.01.04        2010.01.05        -
Sophos        4.49.0        2010.01.05        -
Sunbelt        3.2.1858.2        2010.01.05        -
Symantec        20091.2.0.41        2010.01.05        -
TheHacker        6.5.0.3.132        2010.01.05        -
TrendMicro        9.120.0.1004        2010.01.05        -
VBA32        3.12.12.1        2010.01.05        -
ViRobot        2010.1.5.2122        2010.01.05        -
VirusBuster        5.0.21.0        2010.01.05        -
weitere Informationen
File size: 61056 bytes
MD5...: 4959ef1284f9eb9fed8da6963d74cac9
SHA1..: ac72210c49ac16507366063862a50531a6652172
SHA256: be5109a25b4bc4b01d6314be10a15d67b2d43590da4043da7a14073a414d11d5
ssdeep: 768:/mwLyFW8RCaIyJzpFdp/u2ER4ERImfVlSewdXUR9sLthSnu:60yJzUQeVsl
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): Unicode
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Text - UTF-16 (LE) encoded (64.4%)
MP3 audio (32.2%)
Lumena CEL bitmap (2.0%)
Corel Photo Paint (1.3%)
Datei w71fg6o3.exe (Dies ist übrigens RSIT unter einem Decknahmen)

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.48        2010.01.05        -
AhnLab-V3        5.0.0.2        2010.01.05        -
AntiVir        7.9.1.122        2009.12.31        -
Antiy-AVL        2.0.3.7        2010.01.05        -
Authentium        5.2.0.5        2010.01.05        -
Avast        4.8.1351.0        2010.01.05        -
AVG        8.5.0.430        2010.01.04        -
BitDefender        7.2        2010.01.05        -
CAT-QuickHeal        10.00        2010.01.05        -
ClamAV        0.94.1        2010.01.05        -
Comodo        3476        2010.01.05        -
DrWeb        5.0.1.12222        2010.01.05        -
eSafe        7.0.17.0        2010.01.05        -
eTrust-Vet        35.1.7216        2010.01.05        -
F-Prot        4.5.1.85        2010.01.05        -
F-Secure        9.0.15370.0        2010.01.05        -
Fortinet        4.0.14.0        2010.01.05        -
GData        19        2010.01.05        -
Ikarus        T3.1.1.79.0        2010.01.05        -
Jiangmin        13.0.900        2010.01.05        -
K7AntiVirus        7.10.939        2010.01.05        -
Kaspersky        7.0.0.125        2010.01.05        -
McAfee        5852        2010.01.05        -
McAfee+Artemis        5852        2010.01.05        -
McAfee-GW-Edition        6.8.5        2010.01.05        -
Microsoft        1.5302        2010.01.05        -
NOD32        4745        2010.01.05        -
Norman        6.04.03        2010.01.05        -
nProtect        2009.1.8.0        2010.01.05        -
Panda        10.0.2.2        2010.01.05        -
PCTools        7.0.3.5        2010.01.05        -
Rising        22.29.01.04        2010.01.05        -
Sophos        4.49.0        2010.01.05        -
Sunbelt        3.2.1858.2        2010.01.05        -
Symantec        20091.2.0.41        2010.01.05        -
TheHacker        6.5.0.3.132        2010.01.05        -
TrendMicro        9.120.0.1004        2010.01.05        -
VBA32        3.12.12.1        2010.01.05        -
ViRobot        2010.1.5.2122        2010.01.05        -
VirusBuster        5.0.21.0        2010.01.05        -
weitere Informationen
File size: 293376 bytes
MD5...: f80f6e09e7f4bafe478ca0da6137e1e2
SHA1..: 719082766cf4f60c8bdaa2b2c9f6967ecbcf8722
SHA256: 682fd0d13d7caf4b17a1eb9bafa0a3c3598139bb3623d3f5fba3bfbd0a6d424a
ssdeep: 6144:Uwbg2xeuJgWM/S1tm/xCIoQPJVZCzw5bEPb3cV9iYpTkyTFHS2:Uw82IZWM
61tUXRd9IPb3cVZkyp/
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb3f40
timedatestamp.....: 0x4b2763f0 (Tue Dec 15 10:24:48 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6e000 0x47000 0x46200 7.93 7b777c30b7f75e5eb654691bb1616dcb
.rsrc 0xb5000 0x2000 0x1400 3.38 710fb4291f153e98a3a03f3473b8bfd6

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

( 0 exports )
RDS...: NSRL Reference Data Set
-
packers (F-Prot): UPX
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: 1, 0, 15, 15281
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
pdfid.: -

Labbeduddel 05.01.2010 18:39
Zu Deinen weiteren Fragen:

Save Tube Video war tatsächlich wieder da. Ich führe das allerdings auf die automatische Systemwiederherstellung zurück, die zwischenzeitlich erforderlich war. Ich habe es wieder gelöscht und neu gestartet, und das Verzeichnis ist bisher nicht wieder da.

Im Task Manager war mir das nachfolgende Programm aufgefallen, das ständig wachsenden Speicher (über 100 MByte) belegt hat. Was es macht, ist mir nicht ganz klar. Kann aber sein - ist viel Musik auf dem Rechner.

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:

Ansonsten war auch ein svchost-Prozess sehr mächtig. Aktuell erlaubt mir der Rechner aber nicht, die Option "Prozesse aller Benutzer anzeigen", daher kann ich das Interessante nicht sehen oder abschreiben. Vielleicht klappt's in einer Stunde.

So weit von mir.

Gruß und Dank vom Labbeduddel

Chris4You 05.01.2010 19:07
Hi,

hast du ein Backup vom Rechner?
Auch Avenger hat keine Freigabe für win7 (und schon gar nicht für 64Bit), möchte es aber mal probieren...

So, habe Avenger in einer virtual maschine auf Win7 (allerdings 32 Bit) losgelassen, bisher läuft es noch ,o)

Falls Du das Risiko eingehen willst...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Files to delete:
C:\Program Files (x86)\Save Tube Video Company\SaveTubeVideo\MinBHO.dll
C:\Program Files (x86)\ICQToolbar\toolbaru.dll

Folders to delete:
C:\Program Files (x86)\Save Tube Video Company\SaveTubeVideo
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris

Labbeduddel 05.01.2010 19:23
Du meinst Backup für den Fall des Totalverlusts? Ja habe ich, das hat mich das ganze vergangene Wochenende gekostet ;)

Nochmal zum Task Manager:

svchost.exe / 167.440 k Arbeitsspeicher / "Hostprozess für Windows-Dienste"
SearchIndexer.exe / 59.032 k Arbeitsspeicher / "Microsoft Windows Search-Indexerstellung"
ccSvcHst.exe *32 / 48.572 k Arbeitsspeicher / "Symantec Service Framework"
wmpnetwk.exe / 35.080 k Arbeitsspeicher (wechselnd, bis über 100 MB) / "Windows Media Player Netzwerk"

Das sind die, die mir auffielen.

Gruß und Dank vom Labbeduddel

Chris4You 05.01.2010 19:49
Hi,

okay, dann schaue dir den vorangegangenen Post von mir noch mal an, da ist ein Avengerscript drin... Das bitte abfahren und das Log posten... Avenger wird endgültig mit zwei Sachen aufräumen und nach einem bestimmten Rootkit suchen...

Schauen wir mal ob wir Ausführungsbeschränkungen finden:
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Image File Execution Options

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

chris
Ps.: Die genannten Prozesse sind unkritisch, wobei die svchost natürlich auch zweckentfremdet von Malware benutzt werden kann (wie einige mehr Systemprozesse. Das ist genau der Trick, wie Malware sich an Firewall und Co "vorbeischmuggelt"...

Labbeduddel 05.01.2010 20:06
Tut mir Leid, aber es gibt keine Datei avenger.txt. Weder im Rootlaufwerk C:\, noch auf dem Desktop, noch irgendwo auf der Festplatte.

Das Programm lief an wie geplant. Nach dem Neustart ("yes") hat es sich aber nicht mehr bemerkbar gemacht.

Und nun??

Chris4You 05.01.2010 20:10
Hi,

eigentlich öffnet sich ein Editor mit dem Log von Avenger...
Das hat mit dem win7/32Bit zumindest funktioniert, auch die Anweisungen wurden abgearbeitet...

Und Du hast nichts neues (Treiber etc.) installiert?

Hast Du Avenger als Admin ausgeführt bzw. unter Adminrechten?

Sieht so aus, als ob wir uns eine Boot-CD basteln müssen und dann von aussen mal draufschauen.
Hast Du eine Ati-Graka im Rechner?

chris

Labbeduddel 05.01.2010 20:14
Vielleicht habe ich den Fehler gemacht, nicht (wie bei dem Oldtimer) die Option "als Administrator starten" zu wählen.

Kann ich den Avenger einfach nochmal starten?

Chris4You 05.01.2010 20:21
Hi,

ja. Suche dann mal wie angegeben mit Flekmann (siehe vorangegangenen Posts)...

chris

Labbeduddel 05.01.2010 20:37
Also, auch mit Administrator-Rechten stellte sich der Avenger tot.

Logfile von Flekman:

Code:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 05.01.2010 20:34:48 for strings:
;  'image file execution options'
; Strings excluded from search:
;  (None)
; Search in:
; Registry Keys  Registry Values  Registry Data 
; HKEY_LOCAL_MACHINE  HKEY_USERS 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEInstal.exe]

; End Of The Log...
Gruß und Dank mal wieder vom Labbeduddel

Chris4You 05.01.2010 20:50
Hi,

auch nicht der Renner...
Hast Du schon eine Reparaturinstallation probiert?

chris

Labbeduddel 05.01.2010 21:10
Systemwiederherstellung auf den Stand 22.11.09. Das hätte ich längst machen sollen. Angeblich bleiben die persönlichen Daten unangetastet.

Nehmen wir mal an, das geht gut. Mit welchem Programm sichere ich dann ab, dass die Viren auch wirklich verschwunden sind?

Chris4You 05.01.2010 21:17
Hi,

ein Scanner der tatsächlich unter win7/64Bit läuft wäre Prevx zu nennen, der allerdings in der Free-Edition nichts beseitigt...
Zitat:
...
It is compatible with Windows 98, NT4, 2000, 2003, 2008, XP, Vista and even Windows 7. Both 32 bit and 64 bit versions are available.
...
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:59 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131