Trojaner-Board - Antivir meldet TR/crypt.xpack.gen auf einem DVD-File!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivir meldet TR/crypt.xpack.gen auf einem DVD-File!!! (https://www.trojaner-board.de/73066-antivir-meldet-tr-crypt-xpack-gen-dvd-file.html)

Hier nochmal alle Schritte, damit du den Überblick nicht verlierst:

1. .dll Datei von der DVD als Zip-Datei zu Avira hochladen! Unbedingt bei Typ Verdacht auf Fehlalarm angeben
2. Die unbekannte Datei aus dem Hijackthislog zu VirusTotal hochladen! Falls bereits analysiert unbedingt auf Erneut analysieren gehen!
3. Navilog ausführen und Log hier posten AntiVir solange deaktivieren!
4. Bereinigung mit CCleaner
5. Scan mit Malwarebytes Anti-Malware AntiVir solange deaktivieren!
6. Poste danach bitte noch ein neues Log von Hijackthis!

Hier findest du noch eine Anleitung für Navilog:

Navilog

Zitat:

1. .dll Datei von der DVD als Zip-Datei zu Avira hochladen! Unbedingt bei Typ Verdacht auf Fehlalarm angeben

Habe ich hochgeladen

Zitat:

2. Die unbekannte Datei aus dem Hijackthislog zu VirusTotal hochladen! Falls bereits analysiert unbedingt auf Erneut analysieren gehen!

Hbe die beiden Dateien, die Hijackthis beanstanded hat (qmkia.exe und rlservice.exe) beide nicht gefunden (weder in den angegebenen Ordnern noch über die Windowssuche)

Zitat:

3. Navilog ausführen und Log hier posten AntiVir solange deaktivieren!

Code:

Search Navipromo version 3.7.7 began on 12.05.2009 at 21:55:23,24
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!
 

Fix running from C:\Program Files\navilog1
 

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO
 

Microsoft® Windows Vista™ Home Premium  ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )

BIOS : ZD1 v1.3811 3H11

USER : acey90 ( Administrator )

BOOT : Normal boot
 

Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)

Firewall  : COMODO Firewall Pro 3.0 (Activated)
 

C:\ (Local Disk) - NTFS - Total:69 Go (Free:14 Go)

D:\ (Local Disk) - NTFS - Total:66 Go (Free:65 Go)

F:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
 
 

Search done in normal mode
 
 

*** Search folders in "C:\Windows" ***
 
 

*** Search folders in "C:\Program Files" ***
 
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***
 
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***
 
 

*** Search folders in "C:\ProgramData" ***
 
 

*** Search folders in "c:\users\acey90\appdata\roaming\micros~1\windows\startm~1\programs" ***
 
 

*** Search folders in "C:\Users\acey90\AppData\Local\virtualstore\Program Files" ***
 
 
 

*** Search folders in "C:\Users\acey90\AppData\Local" ***
 
 
 
 

*** Search folders in "C:\Users\acey90\AppData\Roaming" ***
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\Windows\system32" *
 

* Scan in "C:\Users\acey90\AppData\Local\Microsoft" *
 

* Scan in "C:\Users\acey90\AppData\Local" *
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***

!! Following keys are not certainly all infected !!
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\Windows\system32" :
 
 

* In "C:\Users\acey90\AppData\Local\Microsoft" :
 
 

* In "C:\Users\acey90\AppData\Local" :
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !

Ist das normal das das sehr lange dauert (30 min.)? Irgendwie fehLT doch auch ab 4. was, oder? Entgegen dem was Log-File sagt habe ich auch AntiVir deaktiviert gehabt (den AntiVir Guard).

Zitat:

4. Bereinigung mit CCleaner

Habe ich gemacht

Zitat:

5. Scan mit Malwarebytes Anti-Malware AntiVir solange deaktivieren!

Hier ist der Bericht:

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2117

Windows 6.0.6001 Service Pack 1
 

12.05.2009 23:13:24

mbam-log-2009-05-12 (23-13-24).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)

Durchsuchte Objekte: 188906

Laufzeit: 1 hour(s), 15 minute(s), 35 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Program Files\DVD-Cover-Designer-2005\coverdesigner.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Zitat:

6. Poste danach bitte noch ein neues Log von Hijackthis!

Das wäre dann das hier:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:32:43, on 11.05.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\FreePDF_XP\fpassist.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\COMODO\Firewall\cfp.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Users\acey90\temp\TeamViewer\Version4\TeamViewer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s

O4 - HKLM\..\Run: [Skytel] Skytel.exe

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix: 

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:  C:\Windows\system32\guard32.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
 

--

End of file - 8193 bytes

Ich weiß gar nicht, wie ich dir danken kann, dass du mir so hilfst.
:party:

Bis morgen

Rubaen

Zitat:

C:\Program Files\DVD-Cover-Designer-2005\coverdesigner.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Sieht ziemlich schlecht aus.

Der Backdoor Bifrose ist ein Anzeichen dafür, das auf deinem PC ein RAT installiert ist/war.
Anscheind hat jemand Vollzugriff auf deinen Rechner.

Ich würde sicher gehen und http://www.trojaner-board.de/51262-a...sicherung.html machen.
Hast du diese Datei Angeboten bekommen von jemanden?

Kannst Du diese Datei

Zitat:

coverdesigner.exe

wo er den Backdoor Bifrose fand nochmal aus der Quarantäne wiederherstellen und es bei Virustotal.com auswerten lassen?

Zitat:

Zitat von Angel21 (Beitrag 435522)

Das ist das Notebook meiner Mutter. ich glaube nicht, dass sie die Datei angeboten bekommen hat. Höchstens irgendwo den Cover designer runtergeladen.Ich frage sie mal und melde mich dann!

Bei der Sicherung des Systemes, sichere ich da nichtden Backdoor mit???

Das macht mir aufjedenfall Angst. Ich werde das Notebook wohl erstmal offline lassen...

Zitat:

Kannst Du diese Datei
Zitat:
coverdesigner.exe
wo er den Backdoor Bifrose fand nochmal aus der Quarantäne wiederherstellen und es bei Virustotal.com auswerten lassen?

Ja kann ich machen, sobald ich wieder am Notebook bin. Feedback gibts gegen Nachmittag!

Übrigens habe ich gerade die Antwort von Antivir bekommen, dass Der TR/Crypt eine Fehlmeldung ist!
Aber wie es aussieht habe ich sowieso ein größeres Problem...

Danke!!!

Hast du die Datei schonmal aus der Quarantäne wiederhergestellt und bei VirusTotal hochgeladen??? Kopiere bitte das Ergebnis! Wahrscheinlich läuft bei dir noch ein Rootkit, weil du die Dateien nicht finden konntest, aber die erste Datei sollte eingentlich schon von Navilog enfernt worden sein!

Aber wenigstens eine gute Nachricht, dass es nur eine Fehlermeldung war! ^^

Zitat:

Zitat von maximilian11 (Beitrag 435580)

Ich bin derzeit mal wieder nicht an dem Notebook. Werde es wieder heute Abend machen müssen.
Melde mich sobald ich das Ergebnis habe.

Danke

Kann die Datei erst morgen hochladen.
Melde mich dann aber sofort.

Wenn ich das System denn neu installiere. Gibt es einen zuverlässigen, idiotensicheren schutz gegen sowas? Das ist ja das NB meiner Mutter und die hat die Comodo-Firewall drauf. Allerdings nervt die die ganze zeit, so dass meine Mutter dann wohl immer auf erlauben geklickt hat ohne zu schauen, was da ankommt....
Für Tipps bin ich sehr dankbar!!!

Danke an euch beide!

Einen idiotensicheren Schutz gibt es nicht, aber man sollte, wie du schon geschrieben, nicht einfach alles ohne zu lesen anklicken! Außerdem nutzt eine zusätzliche Firewall nichts!

Bei einem kompletten Neuaufsetzen des Systems sicherst du keine Schädlichen Datein mit, wenn du folgende Grundregel beachtest und zwar: Nur MP3/MP4, Bilder und Dokumentdatein sichern,
Solange du keine ausführbare Programme (die evtl. befallen sein können von weiteren/anderen Schädlingen) mitsicherst wirst du nach dem Neu Aufsetzen keine Probleme bekommen werden.

Lasse aber zur Sicherheit noch einmal bevor diese Daten, die du sicherst auf dem neu aufgesetzten PC gelangen mit Avira oder einem anderen Antivirscanner überprüfen.

Zitat:

Zitat von maximilian11 (Beitrag 435620)

Einen idiotensicheren Schutz gibt es nicht, aber man sollte, wie du schon geschrieben, nicht einfach alles ohne zu lesen anklicken! Außerdem nutzt eine zusätzliche Firewall nichts!

Das heißt die Windows Firewall ist ausreichend, bzw. es gibt nichts besseres?
Sollte man denn einen weiteren Schutz installieren, sowas wie Ad-Aware oder gibt es da was besseres?

So hier die Auswertung von Antivirus.com:

Code:

Antivirus  Version  letzte aktualisierung  Ergebnis

a-squared  4.0.0.101  2009.05.13  -

AhnLab-V3  5.0.0.2  2009.05.13  -

AntiVir  7.9.0.166  2009.05.13  -

Antiy-AVL  2.0.3.1  2009.05.13  -

Authentium  5.1.2.4  2009.05.13  -

Avast  4.8.1335.0  2009.05.13  -

AVG  8.5.0.327  2009.05.13  -

BitDefender  7.2  2009.05.13  -

CAT-QuickHeal  10.00  2009.05.13  -

ClamAV  0.94.1  2009.05.13  -

Comodo  1157  2009.05.08  -

DrWeb  5.0.0.12182  2009.05.13  -

eSafe  7.0.17.0  2009.05.12  -

eTrust-Vet  31.6.6504  2009.05.13  -

F-Prot  4.4.4.56  2009.05.13  -

F-Secure  8.0.14470.0  2009.05.13  -

Fortinet  3.117.0.0  2009.05.13  -

GData  19  2009.05.13  -

Ikarus  T3.1.1.49.0  2009.05.13  -

K7AntiVirus  7.10.734  2009.05.13  -

Kaspersky  7.0.0.125  2009.05.13  -

McAfee  5614  2009.05.13  -

McAfee+Artemis  5614  2009.05.13  -

McAfee-GW-Edition  6.7.6  2009.05.13  -

Microsoft  1.4602  2009.05.13  -

NOD32  4072  2009.05.13  -

Norman  6.01.05  2009.05.13  -

nProtect  2009.1.8.0  2009.05.13  -

Panda  10.0.0.14  2009.05.13  -

PCTools  4.4.2.0  2009.05.13  -

Prevx  3.0  2009.05.13  -

Rising  21.29.24.00  2009.05.13  -

Sophos  4.41.0  2009.05.13  -

Sunbelt  3.2.1858.2  2009.05.13  -

Symantec  1.4.4.12  2009.05.13  -

TheHacker  6.3.4.1.325  2009.05.13  -

TrendMicro  8.950.0.1092  2009.05.13  -

VBA32  3.12.10.5  2009.05.13  -

ViRobot  2009.5.13.1733  2009.05.13  -

weitere Informationen

File size: 221184 bytes

MD5...: 2535d142d8ed54d5b3cd9b7b7cd7a2ca

SHA1..: 356ae3db57b5c0f2188cc5d7fed1abed4a5b8b18

SHA256: 5f26136b99dd7ddfd2deac33a7fa69a4ee283c10d7c5d59f933a85db1b2220fc

SHA512: a7aaf32f7a79361df0d96801fd7f906ba8b4d4d426da4d89bca9640c089c3424

161dad2c573bf5e204cfa00afc8b2c71eac11544cb596bff45b122ad9d0b6241

ssdeep: 6144:FmVmmd45f51lAg/V0RmVmmd45f51lAcmVmmd45f51lAcmVmmd45f51lAtmV

mmd4Q:FmVmmd45f51lA6V0RmVmmd45f51lAcme

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x214c

timedatestamp.....: 0x424c6bb8 (Thu Mar 31 21:29:28 2005)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x32fd8 0x33000 6.12 5b6565e5fbf53042bdbbfcd9ee9d7106

.data 0x34000 0x5174 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

.rsrc 0x3a000 0xfa0 0x1000 4.28 72563274ddb732df1578791ea8a231a5
 

( 1 imports )

> MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaLateIdCall, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaCopyBytes, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaLateMemSt, -, __vbaVarForInit, __vbaExitProc, -, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaBoolVar, -, __vbaBoolVarNull, __vbaFpR8, _CIsin, -, __vbaLateMemStAd, __vbaChkstk, -, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, -, __vbaPrintObj, __vbaI2I4, DllFunctionCall, __vbaVarOr, __vbaVarLateMemSt, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaStrR8, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, __vbaStrToUnicode, -, -, -, _adj_fprem, _adj_fdivr_m64, -, __vbaVarDiv, __vbaI2Str, -, __vbaFPException, __vbaStrVarVal, __vbaCheckType, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaR8Str, __vbaVarLateMemCallLdRf, -, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaVarCmpLt, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, __vbaVarCmpEq, __vbaVarAdd, __vbaLateMemCall, __vbaStrToAnsi, __vbaVarDup, __vbaFpI4, __vbaVarLateMemCallLd, -, __vbaLateMemCallLd, _CIatan, __vbaCastObj, __vbaStrMove, -, _allmul, __vbaLateIdSt, _CItan, __vbaVarForNext, _CIexp, __vbaFreeStr, __vbaFreeObj
 

( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=2535d142d8ed54d5b3cd9b7b7cd7a2ca

Hilft euch das weiter? Bekommt man den BAckdoor weg oder soll ich das System neu aufsetzen???

Neuaufsetzen ist natürlich immer die sicherste Variante!!!

Zitat:

Zitat von maximilian11 (Beitrag 435767)

Neuaufsetzen ist natürlich immer die sicherste Variante!!!

Das habe ich mir fast gedacht ;)

Aber besteht denn eine Möglichkeit das NB ohne neu aufsetzen wieder sauber zu bekommen?
Wenn ja würde ich die gerne ausprobieren.
Was sagt dir denn die Antivirus Auswertung?