Mal schauen, was die Datei CexTrayWinLogon.dll ergibt, die sieht mir sehr dubios aus.

Ich werde mich an Dich wenden, falls ich mit meinem Latein am Ende bin :D

mfg

Ich hab nicht gesagt ich hab ne Lösunge gell:Boogie:
Wären alles nur Versuche und Verzweiflungsaktionen:sword2:

Hi,
darf ich fragen ob dir diese Benutzerkonten:
bekannt sind?

lg myrtille

Hallo, hier das Ergebnis der unten angegebenen Datei.

Ja Avenger hat nen Neustart gemacht .

Ja Aber combofix war vor der ganzen Aktion mit avenger.

Wir hatten vorher mal nen Kampf mit Virtumonde...

@myrtille:

Die ersten beiden sind Admin Konten der Firma ( der zweite liegt hier wohl nur lokal.

Der dritte Account ist meiner


AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.0.68 2008.07.18 -
Authentium 5.1.0.4 2008.07.18 -
Avast 4.8.1195.0 2008.07.18 -
AVG 8.0.0.130 2008.07.17 -
BitDefender 7.2 2008.07.18 -
CAT-QuickHeal 9.50 2008.07.17 -
ClamAV 0.93.1 2008.07.18 -
DrWeb 4.44.0.09170 2008.07.17 -
eSafe 7.0.17.0 2008.07.17 -
eTrust-Vet 31.6.5964 2008.07.18 -
Ewido 4.0 2008.07.17 -
F-Prot 4.4.4.56 2008.07.18 -
F-Secure 7.60.13501.0 2008.07.18 -
Fortinet 3.14.0.0 2008.07.18 -
GData 2.0.7306.1023 2008.07.18 -
Ikarus T3.1.1.34.0 2008.07.18 -
Kaspersky 7.0.0.125 2008.07.18 -
McAfee 5341 2008.07.18 -
Microsoft 1.3704 2008.07.18 -
NOD32v2 3277 2008.07.18 -
Norman 5.80.02 2008.07.17 -
Panda 9.0.0.4 2008.07.17 -
Prevx1 V2 2008.07.18 -
Rising 20.53.32.00 2008.07.17 -
Sophos 4.31.0 2008.07.18 -
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.18 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.18 -
VBA32 3.12.8.0 2008.07.17 -
VirusBuster 4.5.11.0 2008.07.17 -
Webwasher-Gateway 6.6.2 2008.07.18 -
weitere Informationen
File size: 57344 bytes
MD5...: e2db310e430a4517457810be72798f44
SHA1..: 94f48fc58b551a773d000e1e94f7a7677e1faf73
SHA256: c24f6aa0e5ca0422be4efb646e6baecaf9e83c9ae1bc76f079d1d3fbeadeb384
SHA512: 2544822b3c28661a30db7d1e03a4d60b34c708901231103776749bd135077f5a
b153301c7931eeceae625ddcdb430f16d15841e5ab741a56eb06c3a649bd5807
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001b30
timedatestamp.....: 0x41f77034 (Wed Jan 26 10:25:56 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x55ca 0x6000 6.19 1196db9dcf86857debcb0014aa3e5bbd
.rdata 0x7000 0xe15 0x1000 4.93 50dc13d8dec4bd621539bfb84ec64af5
.data 0x8000 0x3968 0x4000 1.15 9510a23a80500b2d69e1ac50588d1f2d
.rsrc 0xc000 0x528 0x1000 1.36 7d08e37979dce7e3ebf4c96acadabf3b
.reloc 0xd000 0xd54 0x1000 3.56 22a896151a58077f186eeb4416f3db77

( 2 imports )
> KERNEL32.dll: GetModuleFileNameW, CloseHandle, CreateEventW, PulseEvent, GetLastError, lstrlenW, SetHandleCount, InterlockedDecrement, InterlockedIncrement, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, HeapReAlloc, HeapAlloc, HeapSize, HeapFree, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, DisableThreadLibraryCalls, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, GetModuleHandleA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, WriteFile, VirtualAlloc, RtlUnwind, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, GetStringTypeA, GetStringTypeW
> ADVAPI32.dll: RegCloseKey, RegSetValueExW, SetSecurityDescriptorDacl, RegEnumKeyExW, RegOpenKeyExW, RegCreateKeyExW, InitializeSecurityDescriptor, RegDeleteKeyW

( 11 exports )
DllRegisterServer, DllUnregisterServer, WLEventLock, WLEventLogoff, WLEventLogon, WLEventShutdown, WLEventStartScreenSaver, WLEventStartShell, WLEventStartup, WLEventStopScreenSaver, WLEventUnlock

Also das Datum der DAtei die Du gescannt haben wolltes ist von 2005
Das Ergebnis steht hier im Beitrag darunter...
Ich hoffe mal das findet irgendwann ein Ende :-)