|
Ungewollter Seitenaufruf im IE und Windows Explorer funktioniert teilweise nicht! Hallo! Kann mir irgendjemand helfen? Ich habe mir irgendwas auf dem Rechner eingefangen! Wenn ich IE öffne und kurze Zeit surfe werden immer wieder irgendwelche Seiten geöffnet. Meistens solche, die bei meinem McAfee als rot gekennzeichnet sind! Und ständig kommt eine Meldung auf meinem Desktop, das der Windows Explorer nicht mehr funktioniert und ich ihn schließen, oder online nach einer Lösung suchen soll. Aber egal, was ich mache, das Fenster verschwindet nur! Es soll auch ständig irgendein AntiVir 2009 installiert werden. Es hört sich nicht gut an! Ich habe den Rechner mit McAfee und a-squared Free gescannt, aber es ist immer noch das gleiche. Hier ist schon mal mein Hijack Logfile. Vielleicht könnt Ihr mir ja ein paar Tipps geben. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:33:54, on 12.08.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16681) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Windows\System32\rundll32.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Program Files\McAfee.com\Agent\mcagent.exe C:\Program Files\SiteAdvisor\6261\SiteAdv.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Windows\System32\rundll32.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe C:\Windows\system32\WerFault.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O1 - Hosts: ::1 localhost O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - c:\program files\siteadvisor\6261\siteadv.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - c:\program files\siteadvisor\6261\siteadv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [FKD2008] C:\Program Files\DATA BECKER\Foto-Kalender-Druckerei 2008\DesktopStarter.exe O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [lphcpjoj0elv6] C:\Windows\system32\lphcpjoj0elv6.exe O4 - HKLM\..\Run: [0bea6f82] rundll32.exe "C:\Users\Tanja\AppData\Local\Temp\oaqkvuyy.dll",b O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Tanja\AppData\Local\Temp\khfFUMFU.dll,#1 O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Tanja\AppData\Local\Temp\awttsPgh.dll,c O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O15 - Trusted Zone: http://*.mcafee.com O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1818/plugin/AXFOAM.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Program Files\Common Files\AVM\de_serv.exe O23 - Service: EasyBits Magic Desktop Services for Windows NT (ezntsvc) - EasyBits Software Corp. - C:\Windows\system32\ezNTSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 11912 bytes Vielen Dank schon mal im Voraus. Tanja |
Hallo, lade diese datei C:\Windows\system32\WerFault.exe bei Virustotal hoch und poste das komplette Ergebnis. |
Hi Tanja, arbeite bitte die folgenden Schritte der Reihe nach ab: 1.) Dateien Online überprüfen lassen:
Code: C:\Windows\system32\WerFault.exe
Du kannst dich jetzt entscheiden, wie du vorgehen willst:
Wählst du dich für die Bereinigung, folge dann diese Schritte weiter: 2.) Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. 3.) Lade dir MalwareBytes Anti-Malware und führe die angegebene Anleitung aus. 4.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. mfg |
Datei WerFault.exe empfangen 2008.08.12 23:03:53 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.12 - AntiVir 7.8.1.19 2008.08.12 - Authentium 5.1.0.4 2008.08.12 - Avast 4.8.1195.0 2008.08.12 - AVG 8.0.0.161 2008.08.12 - BitDefender 7.2 2008.08.12 - CAT-QuickHeal 9.50 2008.08.12 - ClamAV 0.93.1 2008.08.12 - DrWeb 4.44.0.09170 2008.08.12 - eSafe 7.0.17.0 2008.08.12 - eTrust-Vet 31.6.6027 2008.08.12 - Ewido 4.0 2008.08.12 - F-Prot 4.4.4.56 2008.08.12 - F-Secure 7.60.13501.0 2008.08.12 - Fortinet 3.14.0.0 2008.08.12 - GData 2.0.7306.1023 2008.08.12 - Ikarus T3.1.1.34.0 2008.08.12 - K7AntiVirus 7.10.412 2008.08.12 - Kaspersky 7.0.0.125 2008.08.12 - McAfee 5358 2008.08.11 - Microsoft 1.3807 2008.08.12 - NOD32v2 3350 2008.08.12 - Norman 5.80.02 2008.08.12 - Panda 9.0.0.4 2008.08.12 - PCTools 4.4.2.0 2008.08.12 - Prevx1 V2 2008.08.12 - Rising 20.57.12.00 2008.08.12 - Sophos 4.32.0 2008.08.12 - Sunbelt 3.1.1542.1 2008.08.12 - Symantec 10 2008.08.12 - TheHacker 6.3.0.3.046 2008.08.12 - TrendMicro 8.700.0.1004 2008.08.12 - VBA32 3.12.8.3 2008.08.11 - ViRobot 2008.8.12.1333 2008.08.12 - VirusBuster 4.5.11.0 2008.08.12 - Webwasher-Gateway 6.6.2 2008.08.12 - weitere Informationen File size: 216064 bytes MD5...: 20f37e48d16d70bd126ef77c97575a5f SHA1..: 94a815505fe03b732d6e084b6fbd2437d7de8ef2 SHA256: 23685e72c45abba9e1337d3276e82bd12336df0c62ac9710f9b18ab9c67e369d SHA512: 1ee6c0563cc2830c46077d3de771c20193b183491034abd7f93e2ed4f77de248 78471e57ea43530a1e46bebf57bddbd6696629750dfc0d15a3c67e89e57d3340 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1006588 timedatestamp.....: 0x4549aedd (Thu Nov 02 08:39:57 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2edaa 0x2ee00 6.30 20a9fdbfc7f61d8a6e84b3e0922d2967 .data 0x30000 0xcdc 0x800 2.51 096624cc306a81d28a752a773908a97d .rsrc 0x31000 0x1548 0x1600 4.21 4bbbe39cea886ded22d1be1ea8516477 .reloc 0x33000 0x3b82 0x3c00 5.98 d2117d0696fc0cfd0f4f2f113ce5222c ( 12 imports ) > ADVAPI32.dll: TraceMessage, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, MD5Init, MD5Update, MD5Final, EqualSid, RegisterWaitChainCOMCallback, OpenThreadWaitChainSession, GetThreadWaitChain, CloseThreadWaitChainSession, StartTraceW, EnableTrace, FlushTraceW, StopTraceW, GetTokenInformation, RegGetValueW, DuplicateToken, AllocateAndInitializeSid, CheckTokenMembership, FreeSid, RegOpenKeyW, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, QueryServiceConfigW, CloseServiceHandle, RegQueryValueExW, RegEnumValueW, CreateProcessAsUserW, RegQueryInfoKeyW, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegCloseKey, OpenProcessToken > KERNEL32.dll: GetLastError, GetVersionExW, WTSGetActiveConsoleSessionId, SetThreadPriority, GetThreadPriority, GetCurrentThread, CreateMutexW, ReleaseMutex, WaitForSingleObject, CreateProcessW, GetModuleFileNameW, DeleteFileW, FileTimeToSystemTime, WriteFile, GetFileAttributesExW, FindClose, FindNextFileW, FindFirstFileW, GetSystemDirectoryW, CreateFileW, GetSystemDefaultLangID, GetProductInfo, GetSystemInfo, ReadFile, GetLocalTime, CreateDirectoryW, SetPriorityClass, LocalFree, OpenProcess, GetFileAttributesW, ReadProcessMemory, LoadLibraryW, DuplicateHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, SystemTimeToFileTime, GetSystemTime, GetProcessTimes, Module32FirstW, CreateToolhelp32Snapshot, GetProcessId, OpenFileMappingW, CreateThread, lstrlenW, MultiByteToWideChar, lstrlenA, GetWindowsDirectoryW, GetSystemWow64DirectoryW, GetModuleHandleW, CompareStringW, GetFileSize, ExpandEnvironmentStringsW, RemoveDirectoryW, GetLongPathNameW, GetTempPathW, SetLastError, CheckRemoteDebuggerPresent, IsWow64Process, VirtualQuery, SetEvent, GetPriorityClass, SetEnvironmentVariableW, InitializeCriticalSection, LeaveCriticalSection, SetThreadpoolWait, EnterCriticalSection, CloseThreadpoolWait, WaitForThreadpoolWaitCallbacks, DeleteCriticalSection, CreateThreadpoolWait, InitializeConditionVariable, WakeConditionVariable, GlobalFree, GetStringTypeExW, SleepConditionVariableCS, Process32NextW, Process32FirstW, SearchPathW, CreateEventW, GetProcessIoCounters, GetThreadTimes, GetFileSizeEx, GetExitCodeProcess, FormatMessageW, GetThreadId, OpenThread, Thread32Next, Thread32First, VirtualQueryEx, GetThreadContext, Module32NextW, GetProcessIdOfThread, LCMapStringW, OutputDebugStringA, OpenEventW, GlobalMemoryStatus, QueryDosDeviceW, GetLogicalDriveStringsW, GetDriveTypeW, FindNextFileNameW, FindFirstFileNameW, GetCommandLineW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, Sleep, InterlockedExchange, DelayLoadFailureHook, HeapSetInformation, GetTempFileNameW, OpenMutexW, LoadLibraryA, FreeLibrary, GetProcAddress, SetErrorMode, InterlockedCompareExchange > USER32.dll: GetWindowThreadProcessId, SendMessageW, GetClassNameW, IsHungAppWindow, RegisterWindowMessageW, ChangeWindowMessageFilter, CheckWindowThreadDesktop, RegisterErrorReportingDialog, IsWindowEnabled, IsWindow, CloseDesktop, CloseWindowStation, GetUserObjectInformationW, GetThreadDesktop, GetProcessWindowStation, LoadStringW, GetWindow > msvcrt.dll: exit, _vsnwprintf, __CxxFrameHandler3, wcschr, _wcsicmp, memset, __3@YAXPAX@Z, __2@YAPAXI@Z, wcsrchr, _wtoi, _wtoi64, _wcsnicmp, _vscwprintf, memmove, iswspace, wcspbrk, _CxxThrowException, memcpy, _wcstoui64, wcsstr, _purecall, rand, srand, _XcptFilter, _vsnprintf, wcsncmp, _wtol, tolower, towlower, __1type_info@@UAE@XZ, _initterm, _amsg_exit, __setusermatherr, _onexit, _lock, __dllonexit, _unlock, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, _exit, _cexit, time, __wgetmainargs > ntdll.dll: NtQuerySystemInformation, RtlFreeHeap, RtlAllocateHeap, NtSetSystemInformation, RtlAdjustPrivilege, NtOpenProcessToken, NtSystemDebugControl, RtlNtStatusToDosError, RtlCompareMemory, RtlUpcaseUnicodeChar, ShipAssert, WinSqmEndSession, WinSqmStartSession, WinSqmEventEnabled, WinSqmEventWrite, NtQueryInformationProcess, RtlInitUnicodeString, RtlAllocateAndInitializeSid, NtAlpcConnectPort, NtAlpcSendWaitReceivePort, RtlFreeSid, NtClose, NtQueryInformationToken, DbgPrint, NtQueryInformationThread, NtOpenThreadToken > ole32.dll: CLSIDFromString, ProgIDFromCLSID, CoCreateGuid, CoUninitialize, CoGetCallState, CoGetActivationState, CoGetObject, StringFromGUID2, CoSetProxyBlanket, CoInitializeEx, CoTaskMemFree > OLEAUT32.dll: -, - > SHLWAPI.dll: StrToInt64ExW, StrToIntExW > IMM32.dll: ImmDisableIME > ncrypt.dll: BCryptCreateHash, BCryptFinishHash, BCryptHashData, BCryptOpenAlgorithmProvider, BCryptCloseAlgorithmProvider, BCryptDestroyHash, BCryptGetProperty > wer.dll: WerReportSetParameter, WerpSetReportFlags, WerpSetDynamicParameter, WerpSetEventName, WerpAddAppCompatData, WerpIsTransportAvailable, WerReportAddDump, WerpReportCancel, WerReportCreate, WerpGetReportConsent, WerpSetCallBack, WerReportAddFile, WerReportSetUIOption, WerReportSubmit, WerReportCloseHandle, WerpAddFile, WerpPromtUser, WerpAddSecondaryParameter, WerpGetReportFlags > faultrep.dll: WerpInitiateCrashReporting, UpdatePerUserLastCrossProcessCollectionTime, CheckPerUserCrossProcessThrottle ( 0 exports ) |
ok die gehört wohl zu vista... dann weiter wie DarkVirus empfohlen hat. |
Argh, unsere Posts haben sich überschnitten, sorry :eek: |
Hallo! Ich hoffe es klappt jetzt! Der IE ist mir schon etliche Male abgestürzt! Hoffenlich kommt jetzt alles an! Erst mal kann ich folgende Dateien nicht finden! C:\Windows\system32\lphcpjoj0elv6.exe C:\Users\Tanja\AppData\Local\Temp\khfFUMFU.dll Dann die VirusTotal Ergebnisse: Virustotal. MD5: 20f37e48d16d70bd126ef77c97575a5f Datei WerFault.exe empfangen 2008.08.12 23:03:53 (CET) Status: Beendet Ergebnis: 0/36 (0.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.12 - AntiVir 7.8.1.19 2008.08.12 - Authentium 5.1.0.4 2008.08.12 - Avast 4.8.1195.0 2008.08.12 - AVG 8.0.0.161 2008.08.12 - BitDefender 7.2 2008.08.12 - CAT-QuickHeal 9.50 2008.08.12 - ClamAV 0.93.1 2008.08.12 - DrWeb 4.44.0.09170 2008.08.12 - eSafe 7.0.17.0 2008.08.12 - eTrust-Vet 31.6.6027 2008.08.12 - Ewido 4.0 2008.08.12 - F-Prot 4.4.4.56 2008.08.12 - F-Secure 7.60.13501.0 2008.08.12 - Fortinet 3.14.0.0 2008.08.12 - GData 2.0.7306.1023 2008.08.12 - Ikarus T3.1.1.34.0 2008.08.12 - K7AntiVirus 7.10.412 2008.08.12 - Kaspersky 7.0.0.125 2008.08.12 - McAfee 5358 2008.08.11 - Microsoft 1.3807 2008.08.12 - NOD32v2 3350 2008.08.12 - Norman 5.80.02 2008.08.12 - Panda 9.0.0.4 2008.08.12 - PCTools 4.4.2.0 2008.08.12 - Prevx1 V2 2008.08.12 - Rising 20.57.12.00 2008.08.12 - Sophos 4.32.0 2008.08.12 - Sunbelt 3.1.1542.1 2008.08.12 - Symantec 10 2008.08.12 - TheHacker 6.3.0.3.046 2008.08.12 - TrendMicro 8.700.0.1004 2008.08.12 - VBA32 3.12.8.3 2008.08.11 - ViRobot 2008.8.12.1333 2008.08.12 - VirusBuster 4.5.11.0 2008.08.12 - Webwasher-Gateway 6.6.2 2008.08.12 - weitere Informationen File size: 216064 bytes MD5...: 20f37e48d16d70bd126ef77c97575a5f SHA1..: 94a815505fe03b732d6e084b6fbd2437d7de8ef2 SHA256: 23685e72c45abba9e1337d3276e82bd12336df0c62ac9710f9b18ab9c67e369d SHA512: 1ee6c0563cc2830c46077d3de771c20193b183491034abd7f93e2ed4f77de248 78471e57ea43530a1e46bebf57bddbd6696629750dfc0d15a3c67e89e57d3340 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1006588 timedatestamp.....: 0x4549aedd (Thu Nov 02 08:39:57 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2edaa 0x2ee00 6.30 20a9fdbfc7f61d8a6e84b3e0922d2967 .data 0x30000 0xcdc 0x800 2.51 096624cc306a81d28a752a773908a97d .rsrc 0x31000 0x1548 0x1600 4.21 4bbbe39cea886ded22d1be1ea8516477 .reloc 0x33000 0x3b82 0x3c00 5.98 d2117d0696fc0cfd0f4f2f113ce5222c ( 12 imports ) > ADVAPI32.dll: TraceMessage, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, MD5Init, MD5Update, MD5Final, EqualSid, RegisterWaitChainCOMCallback, OpenThreadWaitChainSession, GetThreadWaitChain, CloseThreadWaitChainSession, StartTraceW, EnableTrace, FlushTraceW, StopTraceW, GetTokenInformation, RegGetValueW, DuplicateToken, AllocateAndInitializeSid, CheckTokenMembership, FreeSid, RegOpenKeyW, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, QueryServiceConfigW, CloseServiceHandle, RegQueryValueExW, RegEnumValueW, CreateProcessAsUserW, RegQueryInfoKeyW, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegCloseKey, OpenProcessToken > KERNEL32.dll: GetLastError, GetVersionExW, WTSGetActiveConsoleSessionId, SetThreadPriority, GetThreadPriority, GetCurrentThread, CreateMutexW, ReleaseMutex, WaitForSingleObject, CreateProcessW, GetModuleFileNameW, DeleteFileW, FileTimeToSystemTime, WriteFile, GetFileAttributesExW, FindClose, FindNextFileW, FindFirstFileW, GetSystemDirectoryW, CreateFileW, GetSystemDefaultLangID, GetProductInfo, GetSystemInfo, ReadFile, GetLocalTime, CreateDirectoryW, SetPriorityClass, LocalFree, OpenProcess, GetFileAttributesW, ReadProcessMemory, LoadLibraryW, DuplicateHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, SystemTimeToFileTime, GetSystemTime, GetProcessTimes, Module32FirstW, CreateToolhelp32Snapshot, GetProcessId, OpenFileMappingW, CreateThread, lstrlenW, MultiByteToWideChar, lstrlenA, GetWindowsDirectoryW, GetSystemWow64DirectoryW, GetModuleHandleW, CompareStringW, GetFileSize, ExpandEnvironmentStringsW, RemoveDirectoryW, GetLongPathNameW, GetTempPathW, SetLastError, CheckRemoteDebuggerPresent, IsWow64Process, VirtualQuery, SetEvent, GetPriorityClass, SetEnvironmentVariableW, InitializeCriticalSection, LeaveCriticalSection, SetThreadpoolWait, EnterCriticalSection, CloseThreadpoolWait, WaitForThreadpoolWaitCallbacks, DeleteCriticalSection, CreateThreadpoolWait, InitializeConditionVariable, WakeConditionVariable, GlobalFree, GetStringTypeExW, SleepConditionVariableCS, Process32NextW, Process32FirstW, SearchPathW, CreateEventW, GetProcessIoCounters, GetThreadTimes, GetFileSizeEx, GetExitCodeProcess, FormatMessageW, GetThreadId, OpenThread, Thread32Next, Thread32First, VirtualQueryEx, GetThreadContext, Module32NextW, GetProcessIdOfThread, LCMapStringW, OutputDebugStringA, OpenEventW, GlobalMemoryStatus, QueryDosDeviceW, GetLogicalDriveStringsW, GetDriveTypeW, FindNextFileNameW, FindFirstFileNameW, GetCommandLineW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, Sleep, InterlockedExchange, DelayLoadFailureHook, HeapSetInformation, GetTempFileNameW, OpenMutexW, LoadLibraryA, FreeLibrary, GetProcAddress, SetErrorMode, InterlockedCompareExchange > USER32.dll: GetWindowThreadProcessId, SendMessageW, GetClassNameW, IsHungAppWindow, RegisterWindowMessageW, ChangeWindowMessageFilter, CheckWindowThreadDesktop, RegisterErrorReportingDialog, IsWindowEnabled, IsWindow, CloseDesktop, CloseWindowStation, GetUserObjectInformationW, GetThreadDesktop, GetProcessWindowStation, LoadStringW, GetWindow > msvcrt.dll: exit, _vsnwprintf, __CxxFrameHandler3, wcschr, _wcsicmp, memset, __3@YAXPAX@Z, __2@YAPAXI@Z, wcsrchr, _wtoi, _wtoi64, _wcsnicmp, _vscwprintf, memmove, iswspace, wcspbrk, _CxxThrowException, memcpy, _wcstoui64, wcsstr, _purecall, rand, srand, _XcptFilter, _vsnprintf, wcsncmp, _wtol, tolower, towlower, __1type_info@@UAE@XZ, _initterm, _amsg_exit, __setusermatherr, _onexit, _lock, __dllonexit, _unlock, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, _exit, _cexit, time, __wgetmainargs > ntdll.dll: NtQuerySystemInformation, RtlFreeHeap, RtlAllocateHeap, NtSetSystemInformation, RtlAdjustPrivilege, NtOpenProcessToken, NtSystemDebugControl, RtlNtStatusToDosError, RtlCompareMemory, RtlUpcaseUnicodeChar, ShipAssert, WinSqmEndSession, WinSqmStartSession, WinSqmEventEnabled, WinSqmEventWrite, NtQueryInformationProcess, RtlInitUnicodeString, RtlAllocateAndInitializeSid, NtAlpcConnectPort, NtAlpcSendWaitReceivePort, RtlFreeSid, NtClose, NtQueryInformationToken, DbgPrint, NtQueryInformationThread, NtOpenThreadToken > ole32.dll: CLSIDFromString, ProgIDFromCLSID, CoCreateGuid, CoUninitialize, CoGetCallState, CoGetActivationState, CoGetObject, StringFromGUID2, CoSetProxyBlanket, CoInitializeEx, CoTaskMemFree > OLEAUT32.dll: -, - > SHLWAPI.dll: StrToInt64ExW, StrToIntExW > IMM32.dll: ImmDisableIME > ncrypt.dll: BCryptCreateHash, BCryptFinishHash, BCryptHashData, BCryptOpenAlgorithmProvider, BCryptCloseAlgorithmProvider, BCryptDestroyHash, BCryptGetProperty > wer.dll: WerReportSetParameter, WerpSetReportFlags, WerpSetDynamicParameter, WerpSetEventName, WerpAddAppCompatData, WerpIsTransportAvailable, WerReportAddDump, WerpReportCancel, WerReportCreate, WerpGetReportConsent, WerpSetCallBack, WerReportAddFile, WerReportSetUIOption, WerReportSubmit, WerReportCloseHandle, WerpAddFile, WerpPromtUser, WerpAddSecondaryParameter, WerpGetReportFlags > faultrep.dll: WerpInitiateCrashReporting, UpdatePerUserLastCrossProcessCollectionTime, CheckPerUserCrossProcessThrottle ( 0 exports ) Virustotal. MD5: 99dae3bd96c77611d1332f71b909bc79 Packed.Generic.180 Trojan.Win32.Monder.etj Trojan.Vundo.FFS Datei oaqkvuyy.dll empfangen 2008.08.13 09:48:19 (CET) Status: Beendet Ergebnis: 17/36 (47.22%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.13 - AntiVir 7.8.1.19 2008.08.13 TR/Monder.etj Authentium 5.1.0.4 2008.08.12 - Avast 4.8.1195.0 2008.08.12 Win32:Trojan-gen {Other} AVG 8.0.0.161 2008.08.12 Generic11.IIE BitDefender 7.2 2008.08.13 Trojan.Vundo.FFS CAT-QuickHeal 9.50 2008.08.12 Trojan.Monder.etj ClamAV 0.93.1 2008.08.13 - DrWeb 4.44.0.09170 2008.08.13 - eSafe 7.0.17.0 2008.08.12 Suspicious File eTrust-Vet 31.6.6029 2008.08.13 - Ewido 4.0 2008.08.12 - F-Prot 4.4.4.56 2008.08.12 W32/Virtumonde.AC.gen!Eldorado F-Secure 7.60.13501.0 2008.08.13 Trojan.Win32.Monder.etj Fortinet 3.14.0.0 2008.08.13 PossibleThreat GData 2.0.7306.1023 2008.08.13 Trojan.Win32.Monder.etj Ikarus T3.1.1.34.0 2008.08.13 Win32.SuspectCrc K7AntiVirus 7.10.412 2008.08.12 - Kaspersky 7.0.0.125 2008.08.13 Trojan.Win32.Monder.etj McAfee 5359 2008.08.12 - Microsoft 1.3807 2008.08.13 Trojan:Win32/Vundo.gen!R NOD32v2 3350 2008.08.12 - Norman 5.80.02 2008.08.13 - Panda 9.0.0.4 2008.08.12 - PCTools 4.4.2.0 2008.08.12 - Prevx1 V2 2008.08.13 Fraudulent Security Program Rising 20.57.21.00 2008.08.13 - Sophos 4.32.0 2008.08.13 - Sunbelt 3.1.1542.1 2008.08.13 VIPRE.Suspicious Symantec 10 2008.08.13 Packed.Generic.180 TheHacker 6.3.0.3.046 2008.08.12 - TrendMicro 8.700.0.1004 2008.08.13 - VBA32 3.12.8.3 2008.08.11 - ViRobot 2008.8.12.1333 2008.08.12 - VirusBuster 4.5.11.0 2008.08.12 - Webwasher-Gateway 6.6.2 2008.08.13 Trojan.Monder.etj weitere Informationen File size: 98688 bytes MD5...: 99dae3bd96c77611d1332f71b909bc79 SHA1..: 284b1ff6aad75242dc806967c367888b2d6318c3 SHA256: 687f488ab3af704ae0b92177452740173c0c9d92a67398762ea863ddd108b02a SHA512: 162485dca67c6b935c4d833917ec9c30a956420d7a39993f6f3ce81f04641e9e 6017d84a96f289a5542aeba5d517e3cfcf5f8bc9761282f059f72a9dd95b7b23 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000114f timedatestamp.....: 0x499078fa (Mon Feb 09 18:42:02 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3000 0x3000 4.26 3f7aced6067a0d335e84a593bd465d7f DATA 0x4000 0x1000 0x400 4.76 c782178f143e242c0e7549fab0ed525d 0x5000 0x4000 0x3c00 7.99 2da053c4faedbdff2219d78ad18d904f 0x9000 0x1000 0x600 7.86 461399974269048ee9e9bd05788c0f0d 0xa000 0x1c000 0xdf80 7.97 62e27d6c373bef333243a79a1c3bbb6a ( 3 imports ) > gdi32.dll: Arc, CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateRectRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA > comdlg32.dll: ChooseColorA, GetOpenFileNameA, GetSaveFileNameA > kernel32.dll: WideCharToMultiByte ( 0 exports ) Prevx info: UYCIMUJD.DLL - Prevx Virustotal. MD5: 0318a2c7bb6f7f587542ce895924fb79 Packed.Generic.180 Trojan.Win32.Monder.cmq Trojan:Win32/Vundo.gen!R Datei awttsPgh.dll empfangen 2008.08.13 09:50:18 (CET) Status: Beendet Ergebnis: 23/36 (63.89%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.13 - AntiVir 7.8.1.19 2008.08.13 TR/Monder.bob Authentium 5.1.0.4 2008.08.12 - Avast 4.8.1195.0 2008.08.12 Win32:Monder-ET AVG 8.0.0.161 2008.08.12 Generic11.EVO BitDefender 7.2 2008.08.13 - CAT-QuickHeal 9.50 2008.08.12 Trojan.Monder.cmq ClamAV 0.93.1 2008.08.13 Trojan.Monder-20 DrWeb 4.44.0.09170 2008.08.13 Trojan.Virtumod.based.18 eSafe 7.0.17.0 2008.08.12 Suspicious File eTrust-Vet 31.6.6029 2008.08.13 Win32/VundoCryptorF!Generic Ewido 4.0 2008.08.12 - F-Prot 4.4.4.56 2008.08.12 W32/Virtumonde.AC.gen!Eldorado F-Secure 7.60.13501.0 2008.08.13 Trojan.Win32.Monder.cmq Fortinet 3.14.0.0 2008.08.13 - GData 2.0.7306.1023 2008.08.13 Trojan.Win32.Monder.cmq Ikarus T3.1.1.34.0 2008.08.13 Trojan.Monder.bob K7AntiVirus 7.10.412 2008.08.12 Trojan.Win32.Monder.cmq Kaspersky 7.0.0.125 2008.08.13 Trojan.Win32.Monder.cmq McAfee 5359 2008.08.12 - Microsoft 1.3807 2008.08.13 Trojan:Win32/Vundo.gen!R NOD32v2 3350 2008.08.12 - Norman 5.80.02 2008.08.13 W32/Vundo.DXE Panda 9.0.0.4 2008.08.12 - PCTools 4.4.2.0 2008.08.12 - Prevx1 V2 2008.08.13 Fraudulent Security Program Rising 20.57.21.00 2008.08.13 - Sophos 4.32.0 2008.08.13 Troj/Virtum-Gen Sunbelt 3.1.1542.1 2008.08.13 VIPRE.Suspicious Symantec 10 2008.08.13 Packed.Generic.180 TheHacker 6.3.0.3.046 2008.08.12 - TrendMicro 8.700.0.1004 2008.08.13 - VBA32 3.12.8.3 2008.08.11 Trojan.Win32.Monder.bwi ViRobot 2008.8.12.1333 2008.08.12 Trojan.Win32.Monder.323328.C VirusBuster 4.5.11.0 2008.08.12 - Webwasher-Gateway 6.6.2 2008.08.13 Trojan.Monder.bob weitere Informationen File size: 323328 bytes MD5...: 0318a2c7bb6f7f587542ce895924fb79 SHA1..: 7175ecdf4a5d93b6decafddbdfedfa420ce7b076 SHA256: 64855993cfa87a8561e7bbf377c423bb95f140cee55fee2ce11588d737307cee SHA512: a86e550ea68c54e2432d3b690acceda5e38b5e336e1afcee1dfe682a28fdc117 a6a83fbe0f8b33dd2201345888ed595ffc2264d2fff7bff40cf0604dda63d1d7 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100012b2 timedatestamp.....: 0x485f54bd (Mon Jun 23 07:46:05 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3000 0x3000 4.62 85fb18ce623705cea66c5bc474413bcb DATA 0x4000 0x1000 0x600 4.20 e845c15a6ada576851c9f0f6efe3ea50 0x5000 0x14000 0x13c00 8.00 244fed81c410e725a28aba3e288fbbd6 0x19000 0xd000 0xc600 8.00 d860821dcc15b937aa357b0cb86e1570 0x26000 0x77000 0x2b300 8.00 79f7e13aafa1b6d7df7cd7a4f1778246 ( 3 imports ) > gdi32.dll: Arc, CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateRectRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA > comdlg32.dll: ChooseColorA, GetOpenFileNameA, GetOpenFileNameA, GetSaveFileNameA > kernel32.dll: CloseHandle, CreateFileA, DeleteFileA, GetFileSize, GetFileType, WaitForSingleObject, WinExec ( 0 exports ) Prevx info: 39347482.DLL - Prevx Virustotal. MD5: 9f5984873cdea9ba1a0689dabf931e13 Datei ezntsvc.exe empfangen 2008.08.13 10:33:31 (CET) Status: Beendet Ergebnis: 0/36 (0.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.13 - AntiVir 7.8.1.19 2008.08.13 - Authentium 5.1.0.4 2008.08.12 - Avast 4.8.1195.0 2008.08.12 - AVG 8.0.0.161 2008.08.12 - BitDefender 7.2 2008.08.13 - CAT-QuickHeal 9.50 2008.08.12 - ClamAV 0.93.1 2008.08.13 - DrWeb 4.44.0.09170 2008.08.13 - eSafe 7.0.17.0 2008.08.12 - eTrust-Vet 31.6.6027 2008.08.12 - Ewido 4.0 2008.08.12 - F-Prot 4.4.4.56 2008.08.12 - F-Secure 7.60.13501.0 2008.08.13 - Fortinet 3.14.0.0 2008.08.13 - GData 2.0.7306.1023 2008.08.13 - Ikarus T3.1.1.34.0 2008.08.13 - K7AntiVirus 7.10.412 2008.08.12 - Kaspersky 7.0.0.125 2008.08.13 - McAfee 5359 2008.08.12 - Microsoft 1.3807 2008.08.13 - NOD32v2 3350 2008.08.12 - Norman 5.80.02 2008.08.13 - Panda 9.0.0.4 2008.08.13 - PCTools 4.4.2.0 2008.08.12 - Prevx1 V2 2008.08.13 - Rising 20.57.21.00 2008.08.13 - Sophos 4.32.0 2008.08.13 - Sunbelt 3.1.1542.1 2008.08.13 - Symantec 10 2008.08.13 - TheHacker 6.3.0.3.046 2008.08.12 - TrendMicro 8.700.0.1004 2008.08.13 - VBA32 3.12.8.3 2008.08.11 - ViRobot 2008.8.12.1333 2008.08.12 - VirusBuster 4.5.11.0 2008.08.12 - Webwasher-Gateway 6.6.2 2008.08.13 - weitere Informationen File size: 33792 bytes MD5...: 9f5984873cdea9ba1a0689dabf931e13 SHA1..: 3604abfeb260f9402cd836e3d15b5e3ae0a98b87 SHA256: 68668824ff26a72b972ef4068335a84ce30618a9d57bbed0b48fe82b431d1513 SHA512: 47e025cb1e6e6008f48130bcfd77bf227e16c32451fea397e6fd733f46ebe0f5 4aa05272e6d2ce38d82618287240ffc1b40d8ae9d99aca2ea493c379392a5b36 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40536c timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x43a0 0x4400 6.09 a8f2dad9825d733a5d2dd34dcaa4dbf3 DATA 0x6000 0x60 0x200 0.82 27d3960c36872915085a850ee69d0b4d BSS 0x7000 0xc5 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x8000 0x2592 0x2600 4.99 fe77c6ff6af2fba546dbe3e9eeafd097 .reloc 0xb000 0x768 0x800 6.37 0423f3ba316acb1e4367786342fe6a91 .rsrc 0xc000 0xc00 0xc00 4.23 6c41c21ee1f1a99a755df09616c85015 ( 33 imports ) > Vcl50.bpl: @System@initialization$qqrv, @System@Finalization$qqrv, @System@@_lldiv$qqrv, @System@@_llmul$qqrv, @System@RegisterModule$qqrp17System@TLibModule, @System@LoadResourceModule$qqrpc, @System@@FinalizeArray$qqrv, @System@@WStrToPWChar$qqrx17System@WideString, @System@@WStrFromLStr$qqrr17System@WideStringx17System@AnsiString, @System@@WStrClr$qqrr17System@WideString, @System@@LStrSetLength$qqrv, @System@@LStrPos$qqrv, @System@@LStrInsert$qqrv, @System@@LStrDelete$qqrv, @System@@LStrCopy$qqrv, @System@UniqueString$qqrr17System@AnsiString, @System@@LStrToPChar$qqrv, @System@@LStrAddRef$qqrv, @System@@LStrCmp$qqrv, @System@@LStrCatN$qqrv, @System@@LStrCat3$qqrv, @System@@LStrCat$qqrv, @System@@LStrLen$qqrv, @System@@LStrFromArray$qqrr17System@AnsiStringpci, @System@@LStrFromPCharLen$qqrr17System@AnsiStringpci, @System@@LStrLAsg$qqrv, @System@@LStrAsg$qqrv, @System@@LStrArrayClr$qqrv, @System@@LStrClr$qqrr17System@AnsiString, @System@@Halt0$qqrv, @System@@StartExe$qqrv, @System@@DoneExcept$qqrv, @System@@RaiseExcept$qqrv, @System@@HandleFinally$qqrv, @System@@HandleAnyException$qqrv, @System@@BeforeDestruction$qqrv, @System@@AfterConstruction$qqrv, @System@@ClassDestroy$qqrv, @System@@ClassCreate$qqrv, @System@TObject@Dispatch$qqrpv, @System@TObject@BeforeDestruction$qqrv, @System@TObject@AfterConstruction$qqrv, @System@TObject@DefaultHandler$qqrpv, @System@TObject@SafeCallException$qqrp14System@TObjectpv, @System@TObject@Free$qqrv, @System@TObject@$bdtr$qqrv, @System@TObject@$bctr$qqrv, @System@TObject@FreeInstance$qqrv, @System@TObject@NewInstance$qqrp17System@TMetaClass, @System@ParamStr$qqri, @System@@FreeMem$qqrv, @System@@GetMem$qqrv, @System@TObject@, @$xp$13System@String > kernel32.dll: GetModuleHandleA, GetModuleFileNameA > Vcl50.bpl: @Svcmgr@initialization$qqrv, @Svcmgr@Finalization$qqrv, @Svcmgr@TService@DoShutdown$qqrv, @Svcmgr@TService@DoInterrogate$qqrv, @Svcmgr@TService@DoContinue$qqrv, @Svcmgr@TService@DoPause$qqrv, @Svcmgr@TService@DoStop$qqrv, @Svcmgr@TService@DoStart$qqrv, @Svcmgr@TService@Controller$qqrui, @Svcmgr@TService@LogMessage$qqr17System@AnsiStringuiii, @Svcmgr@TService@GetTerminated$qqrv, @Svcmgr@TService@GetDisplayName$qqrv, @Svcmgr@TService@$bdtr$qqrv, @Svcmgr@TService@$bctr$qqrp18Classes@TComponenti, @Svcmgr@TServiceThread@ProcessRequests$qqro, @Svcmgr@Application, @$xp$15Svcmgr@TService, @Svcmgr@TService@ > Vcl50.bpl: @Forms@initialization$qqrv, @Forms@Finalization$qqrv, @Forms@TDataModule@ReadState$qqrp15Classes@TReader, @Forms@TDataModule@DefineProperties$qqrp14Classes@TFiler, @Forms@TDataModule@DoDestroy$qqrv, @Forms@TDataModule@DoCreate$qqrv, @Forms@TDataModule@BeforeDestruction$qqrv, @Forms@TDataModule@AfterConstruction$qqrv, @Forms@TDataModule@$bctr$qqrp18Classes@TComponent > Vcl50.bpl: @Multimon@initialization$qqrv, @Multimon@Finalization$qqrv > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA > kernel32.dll: WriteFile, WaitNamedPipeA, WaitForSingleObject, Sleep, ReadFile, QueryPerformanceFrequency, QueryPerformanceCounter, PeekNamedPipe, LocalFree, GetWindowsDirectoryA, GetTickCount, GetTempPathA, GetSystemDirectoryA, GetModuleFileNameA, GetLastError, GetCurrentProcess, GetComputerNameA, FlushFileBuffers, DisconnectNamedPipe, CreateNamedPipeA, CreateMutexA, CreateFileA, ConnectNamedPipe, CloseHandle > advapi32.dll: SetSecurityDescriptorDacl, RegOpenKeyExA, IsValidSid, InitializeSecurityDescriptor, FreeSid, AllocateAndInitializeSid > Vcl50.bpl: @Actnlist@initialization$qqrv, @Actnlist@Finalization$qqrv > Vcl50.bpl: @Imglist@initialization$qqrv, @Imglist@Finalization$qqrv > Vcl50.bpl: @Activex@initialization$qqrv, @Activex@Finalization$qqrv > Vcl50.bpl: @Graphics@initialization$qqrv, @Graphics@Finalization$qqrv > Vcl50.bpl: @Classes@initialization$qqrv, @Classes@Finalization$qqrv, @Classes@TComponent@QueryInterface$qqsrx5_GUIDpv, @Classes@TComponent@UpdateRegistry$qqrp17System@TMetaClassox17System@AnsiStringt3, @Classes@TComponent@SafeCallException$qqrp14System@TObjectpv, @Classes@TComponent@SetName$qqrx17System@AnsiString, @Classes@TComponent@ValidateRename$qqrp18Classes@TComponentx17System@AnsiStringt2, @Classes@TComponent@WriteState$qqrp15Classes@TWriter, @Classes@TComponent@Loaded$qqrv, @Classes@TComponent@Notification$qqrp18Classes@TComponent18Classes@TOperation, @Classes@TThread@Terminate$qqrv, @Classes@TThread@Resume$qqrv, @Classes@TThread@DoTerminate$qqrv, @Classes@TThread@$bdtr$qqrv, @Classes@TThread@$bctr$qqro, @Classes@TStream@GetSize$qqrv, @Classes@TStream@SetPosition$qqri, @Classes@TStrings@SetCommaText$qqrx17System@AnsiString, @Classes@TPersistent@AssignTo$qqrp19Classes@TPersistent, @Classes@TPersistent@Assign$qqrp19Classes@TPersistent, @Classes@TThread@, @Classes@TMemoryStream@, @Classes@TStringList@ > Vcl50.bpl: @Sysutils@initialization$qqrv, @Sysutils@Finalization$qqrv, @Sysutils@Beep$qqrv, @Sysutils@Exception@$bctr$qqrx17System@AnsiString, @Sysutils@DateTimeToStr$qqr16System@TDateTime, @Sysutils@Now$qqrv, @Sysutils@Format$qqrx17System@AnsiStringpx14System@TVarRecxi, @Sysutils@StrPas$qqrpxc, @Sysutils@ExtractFileDir$qqrx17System@AnsiString, @Sysutils@StrToInt$qqrx17System@AnsiString, @Sysutils@Trim$qqrx17System@AnsiString, @Sysutils@LowerCase$qqrx17System@AnsiString, @Sysutils@UpperCase$qqrx17System@AnsiString, @Sysutils@AllocMem$qqrui, @Sysutils@Exception@ > Vcl50.bpl: @Sysconst@initialization$qqrv, @Sysconst@Finalization$qqrv > Vcl50.bpl: @Typinfo@initialization$qqrv, @Typinfo@Finalization$qqrv > Vcl50.bpl: @Consts@initialization$qqrv, @Consts@Finalization$qqrv > Vcl50.bpl: @Controls@initialization$qqrv, @Controls@Finalization$qqrv > Vcl50.bpl: @Menus@initialization$qqrv, @Menus@Finalization$qqrv > Vcl50.bpl: @Contnrs@initialization$qqrv, @Contnrs@Finalization$qqrv > Vcl50.bpl: @Stdactns@initialization$qqrv, @Stdactns@Finalization$qqrv > Vcl50.bpl: @Stdctrls@initialization$qqrv, @Stdctrls@Finalization$qqrv > Vcl50.bpl: @Clipbrd@initialization$qqrv, @Clipbrd@Finalization$qqrv > Vcl50.bpl: @Flatsb@initialization$qqrv, @Flatsb@Finalization$qqrv > Vcl50.bpl: @Printers@initialization$qqrv, @Printers@Finalization$qqrv > Vcl50.bpl: @Math@initialization$qqrv, @Math@Finalization$qqrv > Vcl50.bpl: @Dialogs@initialization$qqrv, @Dialogs@Finalization$qqrv > Vcl50.bpl: @Extctrls@initialization$qqrv, @Extctrls@Finalization$qqrv > Vcl50.bpl: @Registry@initialization$qqrv, @Registry@Finalization$qqrv, @Registry@TRegistry@MoveKey$qqrx17System@AnsiStringt1o, @Registry@TRegistry@RenameValue$qqrx17System@AnsiStringt1, @Registry@TRegistry@KeyExists$qqrx17System@AnsiString, @Registry@TRegistry@ValueExists$qqrx17System@AnsiString, @Registry@TRegistry@WriteBinaryData$qqrx17System@AnsiStringpvi, @Registry@TRegistry@WriteInteger$qqrx17System@AnsiStringi, @Registry@TRegistry@ReadString$qqrx17System@AnsiString, @Registry@TRegistry@WriteString$qqrx17System@AnsiStringt1, @Registry@TRegistry@DeleteValue$qqrx17System@AnsiString, @Registry@TRegistry@DeleteKey$qqrx17System@AnsiString, @Registry@TRegistry@OpenKey$qqrx17System@AnsiStringo, @Registry@TRegistry@GetBaseKey$qqro, @Registry@TRegistry@ChangeKey$qqruix17System@AnsiString, @Registry@TRegistry@SetRootKey$qqrui, @Registry@TRegistry@CloseKey$qqrv, @Registry@TRegistry@$bdtr$qqrv, @Registry@TRegistry@$bctr$qqrv, @Registry@TRegistry@ > Vcl50.bpl: @Inifiles@initialization$qqrv, @Inifiles@Finalization$qqrv, @Inifiles@TMemIniFile@SetStrings$qqrp16Classes@TStrings, @Inifiles@TMemIniFile@$bctr$qqrx17System@AnsiString, @Inifiles@TMemIniFile@ > Advapi32.DLL: SetEntriesInAclA > Vcl50.bpl: @Appevnts@initialization$qqrv, @Appevnts@Finalization$qqrv > kernel32.dll: GetProcAddress, LoadLibraryA, GetModuleHandleA ( 0 exports ) |
Hi! Ich habe es jetzt endlich geschafft. Dann versuche ich jetzt mal das andere! Gruß Tanja |
Blacklight hatte folgende Info: Scan complete. No hidden items found. |
Hallo! Ich habe Navilog1 installiert und ein Icon auf dem Desktop erstellt. Beim Doppelklicken wird es auch geöffnet und ich soll die Sprache eingeben. Also E und Enter. Mehr macht es aber nicht! So wie ich es gelesen habe erscheint nach e und enter "Zugriff verweigert!". Was muß ich jetzt denn machen? :( Gruß Tanja |
* To make sure that Navilog1 works correctly, it is recommended to disable your UAC (User Agent Control) during installation and use of Navilog1. Don't forget to re-enable it after you've finished to use Navilog1. Start --> Ausführen --> msconfig --> Enter --> Tools Hier findest die Funktion "Benutzerkontoschutz deaktivieren". Falls du kein Ausführen findest: Systemsteuerung unter "Taskleiste und Startmenü" im Register "Startmenü" -> "Anpassen" wählen und in der dort erscheinenden Auswahl den Haken bei "Befehl Ausführen" setzen. dann Neustart |
Hast du schon MalwareBytes ausgeführt? Danach sollte das meiste weg sein. Navilog1 ist für Navipromo-Infektionen. |
Hallo! Hier erst mal mein MalwareBytes Bericht Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1047 Windows 6.0.6000 13:16:31 13.08.2008 mbam-log-8-13-2008 (13-16-26).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 193049 Laufzeit: 1 hour(s), 57 minute(s), 24 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 40 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Users\Tanja\AppData\Local\Temp\awttsPgh.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\qfpavbgv.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0bea6f82 (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcpjoj0elv6 (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\Tanja\AppData\Local\Temp\awttsPgh.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\qfpavbgv.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\vtUopOfF.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\008S39JK\kb456456[1] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\008S39JK\kb767887[1] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FH5MOGPB\kb456456[1] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MGUB2XYG\ico[1] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MGUB2XYG\kb767887[1] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YVAC8GT2\kb456456[1] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YVAC8GT2\kb767887[1] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZTDX06N2\cntr[1].gif (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZTDX06N2\kb456456[2] (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\aeyjprrl.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a266 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\oaqkvuyy.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp00009da5 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp00009fd7 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a005 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\kdmdlmtc.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\cbXPfFWq.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\fllodycy.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\fpamepne.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\fudcgrms.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a295 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a321 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a717 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a7b3 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a7f1 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a8db (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a958 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000a9c5 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000aa90 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000aaee (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000b24d (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000b385 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp0000f7e5 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tmp012f3603 (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\tnhbvnah.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\dxaycbgg.dll (Trojan.Vundo) -> No action taken. C:\Users\Tanja\AppData\Local\Temp\s1265.php (Trojan.FakeAlert) -> No action taken. Navilog arbeitet gerade |
Schön, lasse MalwareBytes nochmal laufen und dann die Funde löschen. ;) |
War ich zu schnell? Ich habe die 44 Funde alle schon gelöscht. Hätte ich warten müssen??? Seit dem kann ich aber wieder surfen, ohne das irgendwelche Seiten aufgerufen werden! Und bis jetzt habe ich auch noch keine Fehlermeldung wieder erhalten. Könnte es damit erledigt sein? Das Ergebnis von Navilog poste ich auch gleich noch mal. |
Alle Funde von MalwareBytes bitte löschen lassen. :) Nach Navilog1 erklär ich dir die nächsten Schritte. ;) mfg |
Und hier der Navilog1 Bericht Search Navipromo version 3.6.3 began on 13.08.2008 at 20:57:42,87 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Program Files\navilog1 Actual User Account : "Tanja" Updated on 09.08.2008 at 18h00 by IL-MAFIOSO Microsoft Windows Vista 6.0.6000 Version Internet Explorer : 7.0.6000.16681 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\Windows" *** *** Search folders in "C:\Program Files" *** *** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" *** *** Search folders in "c:\progra~2\micros~1\windows\startm~1" *** *** Search folders in "C:\ProgramData" *** *** Search folders in "c:\users\tanja\appdata\roaming\micros~1\windows\startm~1\programs" *** *** Search folders in "C:\Users\Tanja\AppData\Local\virtualstore\Program Files" *** *** Search folders in "C:\Users\Tanja\AppData\Roaming" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\Windows\system32" * * Scan in "C:\Users\Tanja\AppData\Local\Microsoft" * * Scan in "C:\Users\Tanja\AppData\Local\virtualstore\windows\system32" * * Scan in "C:\Users\Tanja\AppData\Local" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\Windows\system32" : * In "C:\Users\Tanja\AppData\Local\Microsoft" : * In "C:\Users\Tanja\AppData\Local\virtualstore\windows\system32" : * In "C:\Users\Tanja\AppData\Local" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 13.08.2008 at 21:17:37,74 *** |
Ok, das Logfile sieht gut aus. Wenn du mit der MalwareBytes-Bereinigung fertig bist, kannst du noch einen Scan mit eScan (vorher updaten) durchführen, das erstellte Logfile ladest du aber bitte bei file-upload.net oder bei Rapidshare hoch und postest den Link, da es zum normalposten viel zu lang wird. mfg |
Hast Du für mich eine downloadseite für escan? |
Hier => Klick |
Habe geklickt! Dann auf download und dann sagt mir das Internet das die Seite nicht gefunden wurde! Und nun? |
|
So. escan gemacht. Hier ist mein Link File-Upload.net - MWAV.LOG Ich hoffe das es alles richtig ist. Danke noch mal |
Jap ist richtig. Wurde denn von eScan was gefunden? Hab leider in dem 8,5 MB großen File nichts erkennen können. :( |
escan zeigt noch spy - und adware an. z.b. diese beiden delzip179.dll und malware.exe (es sind noch weitere da) zu finden in C:\Users\Tanja\Desktop\tanjas downloads\ lad die Dateien doch mal bei Virustotal hoch und berichte. Du kannst noch Counterspy von Sunbelt drüberlaufen lassen. Du kannst die 15 Tage trial nutzen. |
Versuche es gerade mit Counterspy, aber dann bekomme ich folgende Info! Your scan failed because qou do not have any risk definitions. Please update your definitions and rescan. Dann habe ich es mit einem Update versucht und bekomme folgende Info! Risk Definitions update has failed Was mache ich jetzt? Ich hoffe mal das meine ProxyServer Adresse richtig ist! Hier die beiden Virustotal Dateien: Datei Malware.exe empfangen 2008.08.14 20:31:34 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.15.0 2008.08.14 - AntiVir 7.8.1.19 2008.08.14 - Authentium 5.1.0.4 2008.08.14 - Avast 4.8.1195.0 2008.08.14 - AVG 8.0.0.161 2008.08.14 - BitDefender 7.2 2008.08.14 - CAT-QuickHeal 9.50 2008.08.14 - ClamAV 0.93.1 2008.08.14 - DrWeb 4.44.0.09170 2008.08.14 - eSafe 7.0.17.0 2008.08.14 - eTrust-Vet 31.6.6032 2008.08.14 - Ewido 4.0 2008.08.14 - F-Prot 4.4.4.56 2008.08.14 - F-Secure 7.60.13501.0 2008.08.14 - Fortinet 3.14.0.0 2008.08.14 - GData 2.0.7306.1023 2008.08.14 - Ikarus T3.1.1.34.0 2008.08.14 - K7AntiVirus 7.10.415 2008.08.14 - Kaspersky 7.0.0.125 2008.08.14 - McAfee 5361 2008.08.14 - Microsoft 1.3807 2008.08.14 - NOD32v2 3355 2008.08.14 - Norman 5.80.02 2008.08.14 - Panda 9.0.0.4 2008.08.14 - PCTools 4.4.2.0 2008.08.14 - Prevx1 V2 2008.08.14 - Rising 20.57.32.00 2008.08.14 - Sophos 4.32.0 2008.08.14 - Sunbelt 3.1.1542.1 2008.08.13 - Symantec 10 2008.08.14 - TheHacker 6.3.0.3.046 2008.08.13 - TrendMicro 8.700.0.1004 2008.08.14 - VBA32 3.12.8.3 2008.08.14 - ViRobot 2008.8.14.1337 2008.08.14 - VirusBuster 4.5.11.0 2008.08.14 - Webwasher-Gateway 6.6.2 2008.08.14 - weitere Informationen File size: 1885120 bytes MD5...: b4f8223c834449ab99766d203393e92b SHA1..: a43398873f3d74e49d3a7c1e57c0e0a9b434965f SHA256: 1b3819ec0f68bbcf170fb4362925a1dddd01fdab9535a3d3572677ad40703811 SHA512: 1cdd9176ec44950c86a9335b3adda9d2cbcb32131d4510d6efa937f4865cc044 cad0f6cb0370c5504903f4940ec76d3975a46093921d8f27366615926a5d8924 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x409a58 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x9174 0x9200 6.57 ea92e1415bc80e2738e334267ebbb921 DATA 0xb000 0x24c 0x400 2.74 f96da19d2571a42bdff1b9e8bd62ec99 BSS 0xc000 0xe48 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0xd000 0x950 0xa00 4.43 bb5485bf968b970e5ea81292af2acdba .tls 0xe000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0xf000 0x18 0x200 0.20 9ba824905bf9c7922b6fc87a38b74366 .reloc 0x10000 0x8b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x11000 0x2a00 0x2a00 4.51 7f1747532a01ae8de66f07f8b6631893 ( 8 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle > user32.dll: MessageBoxA > oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA > kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetACP, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle > user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA > comctl32.dll: InitCommonControls > advapi32.dll: AdjustTokenPrivileges ( 0 exports ) ThreatExpert info: ThreatExpert Report packers (Kaspersky): PE_Patch Datei DelZip179.dll empfangen 2008.08.14 20:36:16 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/34 (2.95%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.15.0 2008.08.14 - AntiVir 7.8.1.19 2008.08.14 - Authentium 5.1.0.4 2008.08.14 - Avast 4.8.1195.0 2008.08.14 - AVG 8.0.0.161 2008.08.14 - BitDefender 7.2 2008.08.14 - CAT-QuickHeal 9.50 2008.08.14 - ClamAV 0.93.1 2008.08.14 - DrWeb 4.44.0.09170 2008.08.14 - eSafe 7.0.17.0 2008.08.14 Suspicious File eTrust-Vet 31.6.6032 2008.08.14 - Ewido 4.0 2008.08.14 - F-Prot 4.4.4.56 2008.08.14 - F-Secure 7.60.13501.0 2008.08.14 - Fortinet 3.14.0.0 2008.08.14 - GData 2.0.7306.1023 2008.08.14 - K7AntiVirus 7.10.415 2008.08.14 - Kaspersky 7.0.0.125 2008.08.14 - McAfee 5361 2008.08.14 - Microsoft 1.3807 2008.08.14 - NOD32v2 3356 2008.08.14 - Norman 5.80.02 2008.08.14 - Panda 9.0.0.4 2008.08.14 - PCTools 4.4.2.0 2008.08.14 - Rising 20.57.32.00 2008.08.14 - Sophos 4.32.0 2008.08.14 - Sunbelt 3.1.1542.1 2008.08.13 - Symantec 10 2008.08.14 - TheHacker 6.3.0.3.046 2008.08.13 - TrendMicro 8.700.0.1004 2008.08.14 - VBA32 3.12.8.3 2008.08.14 - ViRobot 2008.8.14.1337 2008.08.14 - VirusBuster 4.5.11.0 2008.08.14 - Webwasher-Gateway 6.6.2 2008.08.14 - weitere Informationen File size: 87040 bytes MD5...: 1b16f799ef9b4aa01bcd84c7a3740a2f SHA1..: 84ab3cb802d71dae01132d45cc29672dc05cc934 SHA256: a0e2dcab2a66118800d004ec747d2d41ac29fbb3a97273902643b52624ebf2e5 SHA512: 5c40231a3b8ee1f4fe5f7e5a68e5ddc1f755b5afd8ed67a6d1dc16dfaf11942f 1bb4b04d16c8b3814957faa6510e9cf0b171a0ae02cc429e5a1db62585d7053b PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x437510 timedatestamp.....: 0x43ac6da8 (Fri Dec 23 21:35:36 2005) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x23000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x24000 0x14000 0x13800 7.91 fea747a2e8d6bc99fe43559d0a119ca8 .rsrc 0x38000 0x2000 0x1800 2.21 23f0665dfefedc72c0993ae192a96913 ( 3 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect > SHELL32.DLL: SHChangeNotify > USER32.DLL: wsprintfA ( 8 exports ) DZ_Abort, DZ_Path, DZ_PrivVersion, DZ_UnzExec, DZ_Version, DZ_ZipExec, DllEntryPoint, ___CPPdebugHook packers (Kaspersky): PE_Patch.UPX, UPX packers (F-Prot): UPX |
Mach eine Bereinigung mit SuperAntiSpyware, das sollte klappen. ;) |
So! Habe jetzt SuperAntiSpyware durchlaufen lassen. Hier mein Bericht SUPERAntiSpyware Scan Log SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware! Generated 08/14/2008 at 09:49 PM Application Version : 4.15.1000 Core Rules Database Version : 3536 Trace Rules Database Version: 1525 Scan type : Quick Scan Total Scan Time : 00:29:45 Memory items scanned : 760 Memory threats detected : 0 Registry items scanned : 465 Registry threats detected : 0 File items scanned : 17593 File threats detected : 28 Adware.Tracking Cookie C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@doubleclick[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@112.2o7[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@ads.heias[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@stat.onestat[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@sevenoneintermedia.112.2o7[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@adfarm1.adition[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@atwola[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@statcounter[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@ehg-nokiafin.hitbox[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@wmvmedialease[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@bs.serving-sys[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@atdmt[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@www.googleadservices[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@adserver.71i[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@ad.71i[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@adtech[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@2o7[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@hitbox[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@maxis.112.2o7[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@tradedoubler[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@delivery.ads.coupling-media[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@overture[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@perf.overture[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@zbox.zanox[1].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@imrworldwide[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@ad.yieldmanager[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@adserver.trojaner-info[2].txt C:\Users\Tanja\AppData\Roaming\Microsoft\Windows\Cookies\tanja@serving-sys[2].txt |
Sieht doch gut aus. :daumenhoc |
Das heißt ich habe die Sache wieder im Griff? Zumindest öffnet sich keine Seite mehr und ich habe auch noch keine Info wieder das Windows Explorer oder IE nicht funktioniert. Muß ich noch was anderes machen? Löschen oder irgendwelche Einstellungen ändern? |
Nö, das war es erstmal. Behalte aber das Verhalten deines Rechners im Auge und falls wieder was sein sollte oder wenn dir was verdächtig vorkommt, melde dich wieder. ;) mfg |
Vielen, vielen, vielen Dank. Schön das man sich an jemanden wenden kann, der Ahnung hat. Danke noch mal und einen schönen Abend noch. Tanja |
No Problem, ;) dir auch einen schönen Abend. :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board