Trojaner-Board
Seite 4 von 5 « Erste 23 4 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bei jedem Systemstart wird nach eine in Quarantäne geschickte DLL-Datei gefragt (https://www.trojaner-board.de/99241-systemstart-quarantaene-geschickte-dll-datei-gefragt.html)

x chris x 23.05.2011 19:22
Ähm, bei dieser komischen Datei "q--I-C--9_YaP3.exe" habe ich Schiss, hat glaub ich was mit LoudMo Contextual Ad Assistent zu tun, der bei mir in Software drin ist. Keine Ahnung was das ist. Habe vor längererer Zeit dieses LoudMo in Software mal gelöscht, und konnte dann nicht mehr hochfahren. Nix ging mehr. Mußte Win XP komplett neuinstallieren lassen.

Was meinst du?

cosinus 23.05.2011 19:34
Das Teil sieht aber verdammt dubios aus. Werte diese Datei zumindest vorher mal bei Virustotal.com aus und poste den Ergebnislink.

x chris x 23.05.2011 19:55
Das kam bei Virustotal.com raus:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 414d497c9454d160fc7ef4bf9601cf20
Date first seen: 2010-04-22 15:49:24 (UTC)
Date last seen: 2010-04-22 15:49:24 (UTC)
Detection ratio: 1/40

cosinus 23.05.2011 20:23
Dann wurde sie schonmal ausgewertet. Du musst dann eine neue Auswertung anstoßen.

x chris x 23.05.2011 20:42
Ich hoffe, du meinst das:

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: q--I-C--9_YaP3.exe
Submission date: 2011-05-23 19:30:59 (UTC)
Current status: queued queued (#36) analysing finished


Result: 17/ 42 (40.5%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.05.24.00 2011.05.23 -
AntiVir 7.11.8.107 2011.05.23 Adware/LoudMo.A.301
Antiy-AVL 2.0.3.7 2011.05.23 -
Avast 4.8.1351.0 2011.05.23 -
Avast5 5.0.677.0 2011.05.23 -
AVG 10.0.0.1190 2011.05.23 -
BitDefender 7.2 2011.05.23 Adware.LoudMo.A
CAT-QuickHeal 11.00 2011.05.22 -
ClamAV 0.97.0.0 2011.05.23 -
Comodo 8808 2011.05.23 -
DrWeb 5.0.2.03300 2011.05.23 -
Emsisoft 5.1.0.5 2011.05.23 AdWare.LoudMo!IK
eSafe 7.0.17.0 2011.05.22 -
eTrust-Vet 36.1.8343 2011.05.23 -
F-Prot 4.6.2.117 2011.05.23 -
F-Secure 9.0.16440.0 2011.05.23 Adware.LoudMo.A
Fortinet 4.2.257.0 2011.05.22 -
GData 22 2011.05.23 Adware.LoudMo.A
Ikarus T3.1.1.104.0 2011.05.23 AdWare.LoudMo
Jiangmin 13.0.900 2011.05.23 -
K7AntiVirus 9.103.4707 2011.05.23 -
Kaspersky 9.0.0.837 2011.05.23 -
McAfee 5.400.0.1158 2011.05.23 Artemis!414D497C9454
McAfee-GW-Edition 2010.1D 2011.05.23 Artemis!414D497C9454
Microsoft 1.6903 2011.05.23 Adware:Win32/LoudMo
NOD32 6146 2011.05.23 -
Norman 6.07.07 2011.05.23 W32/Ezula.XE
nProtect 2011-05-23.01 2011.05.23 Adware.LoudMo.A
Panda 10.0.3.5 2011.05.23 Trj/CI.A9
PCTools 7.0.3.5 2011.05.19 Adware.ADH
Prevx 3.0 2011.05.23 -
Rising 23.59.00.03 2011.05.23 -
Sophos 4.65.0 2011.05.23 -
SUPERAntiSpyware 4.40.0.1006 2011.05.23 -
Symantec 20111.1.0.186 2011.05.23 Adware.ADH
TheHacker 6.7.0.1.203 2011.05.23 -
TrendMicro 9.200.0.1012 2011.05.23 TROJ_GEN.R4FC1BF
TrendMicro-HouseCall 9.200.0.1012 2011.05.23 TROJ_GEN.R4FC1BF
VBA32 3.12.16.0 2011.05.23 -
VIPRE 9367 2011.05.23 Trojan.Win32.Generic!BT
ViRobot 2011.5.23.4473 2011.05.23 -
VirusBuster 13.6.369.0 2011.05.23 -
Additional informationShow all
MD5 : 414d497c9454d160fc7ef4bf9601cf20
SHA1 : e86f727e495bee61d880aaaf01536a5657d2a01b
SHA256: fd020f956348c8cdf141b9f74c5888610246a1199b08a291d3e7e667a9ea2f50
ssdeep: 1536:vQpQ5EP0ijnRTXJ2gdLeAyNNPTF5fUZIK9IyEi3iikfNLbRYHbAIsVdwiiZ+DvJV:vQIUR
TXJ2ceAMpeWyXev2HbAIsqYJV
File size : 111808 bytes
First seen: 2010-04-22 15:49:24
Last seen : 2011-05-23 19:30:59
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

packers (F-Prot): NSIS
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x323C
timedatestamp....: 0x4A2AE2A2 (Sat Jun 06 21:41:54 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x5A5A, 0x5C00, 6.42, 0bc2ffd32265a08d72b795b18265828d
.rdata, 0x7000, 0x1190, 0x1200, 5.18, f179218a059068529bdb4637ef5fa28e
.data, 0x9000, 0x1AF98, 0x400, 4.71, 975304d6dd6c4a4f076b15511e2bbbc0
.ndata, 0x24000, 0xB000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
.rsrc, 0x2F000, 0x48D0, 0x4A00, 5.87, 4cc3f89c214e350e27ed0f562ca7c749

[[ 8 import(s) ]]
KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

ExifTool:
file metadata
CodeSize: 23552
EntryPoint: 0x323c
FileSize: 109 kB
FileType: Win32 EXE
ImageVersion: 6.1
InitializedDataSize: 119808
LinkerVersion: 6.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2009:06:06 23:41:54+02:00
UninitializedDataSize: 1024



VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team

cosinus 23.05.2011 20:50
Zitat:
Result: 17/ 42 (40.5%)
Bei diesem Ergebnis kann man nur sagen, dass die Datei nicht legitim ist.
Lass sie mit OTL fixen, nimm also das o.g. Script.

x chris x 24.05.2011 08:11
Habe vorher noch zwei wichtige Fragen:

1. Meinst du, das ich vorher wieder über CD booten soll und dann den scan machen?
2. Was mache ich, wenn dann nix mehr geht siehe oben, also der Rechner nicht mehr
hochfährt. Habe noch NIE XP neuinstalliert, das wäre eine Katastrophe.

x chris x 24.05.2011 08:59
Nachtrag meiner Antwort von heute um 9:11 h:

Ahh, noch was. Dieses LoudMo, was für dich dubios, bzw. nicht legitim ist, war vorher schon da, also kann es mit dieser ständigen Meldung nach dem Hochfahren (im Desktop) doch nix zu tun haben.

cosinus 24.05.2011 12:15
Zitat:
1. Meinst du, das ich vorher wieder über CD booten soll und dann den scan machen?
Ja, weil wir auf Basis eines Logs von OTLPE fixen, dann sollten wir das besser auch über OTLPE machen.

Falls was nicht geht, verschieben wir den Kram aus der OTL-Quarantäne zurück an den Originalort.

x chris x 24.05.2011 16:37
Hallo Arne,
bin noch immer in Reatogo/X/PE. Trau mich nicht den Rechner herunteryufahren. Mit grosser wahrscheinlichkeit geht er dann nicht mehr hoch, und ich kann dich dann nicht kontaktieren. Bitte lass mich nicht lange warten. Was nun_
Hier der OTL Log

========== OTL ==========
C:\WINDOWS\system32\q--I-C--9_YaP3.exe moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess\C0E4C319CEBECB01 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16} folder moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:ECF3C50F deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:13765436 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.46.0 log created on 05242011_182952

cosinus 24.05.2011 18:11
Zitat:
Mit grosser wahrscheinlichkeit geht er dann nicht mehr hoch, und ich kann dich dann nicht kontaktieren.
Du hast doch die OTLPE-CD im Notfall :wtf:

Starte Windows einfach normal neu.

x chris x 24.05.2011 18:30
Super er ist normal gestartet! Puhhh!
Jedoch ist die o.g. Meldung immer noch da. Und in "Software" auch noch "LoudMo Contextual Ad Assistent", hat aber wohl mit der Meldung auch nichts zu tun (s.o.).
Was ist das bloß, was bei jedem Start (nach dem hochfahren) kommt? Wie gesagt Rechner piept dann einmal kurz. Was jertzt?

cosinus 24.05.2011 18:36
Wie gesagt, weitere Hinweise seh ich da leider nicht. Wollen wir da unbedingt noch weiterbuddeln oder willst du das System neu aufsetzen?

x chris x 24.05.2011 19:23
Was meinst du denn? Könntest du den Fehler herausfinden?
Und was bedeutet "das System neu aufsetze".
Habe ich dann alles doppelt (bekam über jemand mal Windows und Windows 1), oder aber eine komplette Neuinstallation, und wie macht man das?
Habe z.Zt. HP_PAVILION (C:) und HP_RECOVERY (D:). Kann ich C: sicherheitshalber teilen und wenn wie?
Ganz schön viele Fragen, ich weiß, tut mir leid, will nix falsch machen. Habe mich bei euch und in anderer Foren schon mal diesbezüglich umgesehen.
Möchte das aber NUR machen, wenn es UNBEDINGT sein muß.
Wie ist dein Vorschlag?
L. G.
x chris x

cosinus 24.05.2011 19:37
Ich glaub kaum dass wir noch was finden werden, aber mach mal noch einen frisches CustomScan:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:00 Uhr.
Seite 4 von 5 « Erste 23 4 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131