virus alert, taskmanager gesperrt, "Error Cleaner", "Spyware Protector" und "Spy

#0
23.06.2008, 11:58
...neu hier

Beiträge: 3
#1 seit geraumer zeit warnt mich "Microsoft" mit falschen warnmeldungen. ich kann meinen taskmanager nicht mehr benutzen (taskmanager vom administrator gesperrt), bei jeder anmeldung is mein bildschirmhintergrund anders (weiß oder "Spyware alert!"), was ich allerdings schließen kann rechts oben. ich hab dasselbe problem hier schon gefunden, hab alles schon mit combofix gescannt und den logfile stell ich jetz ma rein. hoffe ich bekomme ne schnelle antwort was zu tun is.
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
ComboFix 08-06-20.4 - Arne 2008-06-23 11:07:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.146 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Arne\Desktop\ComboFix.exe
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Arne\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Arne\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Arne\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\D6J7YV7N\www.broadcaster.com
C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Dokumente und Einstellungen\Eric\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Eric\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Eric\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Eric\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Eric\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Eric\Favoriten\Spyware&Malware Protection.url
C:\Programme\screensavers.com
C:\Programme\screensavers.com\SSSInst\bin\SSSInst.dll
C:\Programme\screensavers.com\SSSInst\bin\SSSUninst.exe
C:\Programme\screensavers.com\Wallpaper\swpstart.exe
C:\WINDOWS\ekda.exe
C:\WINDOWS\ksendlbtqbe.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\pskill.exe
C:\WINDOWS\system32\wcpsu.exe
C:\WINDOWS\vrmdtneg.dll
C:\WINDOWS\wpvmqosg.dll
C:\WINDOWS\xvorfwbd.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


((((((((((((((((((((((( Dateien erstellt von 2008-05-23 bis 2008-06-23 ))))))))))))))))))))))))))))))
.

2008-06-23 10:26 . 2008-06-23 10:26 <DIR> d-------- C:\Programme\Trend Micro
2008-06-23 10:04 . 2008-06-23 11:29 4,335 --a------ C:\WINDOWS\system32\LOCALSERVICE.INI
2008-06-23 10:04 . 2008-06-23 10:04 97 --a------ C:\WINDOWS\system32\LOCALDEVICE.INI
2008-06-23 02:22 . 2008-06-23 02:22 <DIR> d-------- C:\Programme\EA SPORTS
2008-06-22 22:11 . 2008-06-22 22:11 <DIR> d-------- C:\Programme\gMapMaker
2008-06-22 21:10 . 2008-06-22 21:10 0 --a------ C:\WINDOWS\system32\BSPRINT.INI
2008-06-22 21:09 . 2008-06-22 21:09 <DIR> d-------- C:\Programme\IVT Corporation
2008-06-22 21:08 . 2008-06-22 21:10 32 --a------ C:\WINDOWS\0
2008-06-22 21:08 . 2008-06-22 21:08 0 --a------ C:\WINDOWS\system32\0
2008-06-22 18:00 . 2008-06-22 20:12 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-22 18:00 . 2008-06-22 18:00 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 22:49 . 2008-06-21 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\TmpRecentIcons
2008-06-21 21:12 . 2008-06-21 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\DivX
2008-06-21 13:20 . 2008-06-21 13:20 <DIR> d-------- C:\Programme\Alcohol Soft
2008-06-21 12:18 . 2008-06-21 12:18 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-21 03:39 . 2008-06-21 03:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
2008-06-21 03:38 . 2008-06-20 23:25 81,920 --a------ C:\WINDOWS\neltabxw.exe
2008-06-20 12:35 . 2008-06-20 20:16 <DIR> d----c--- C:\divx
2008-06-19 17:45 . 2008-06-19 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\Eltern\Anwendungsdaten\ZipGenius
2008-06-18 19:52 . 2008-06-18 19:52 198,774 --a--c--- C:\RemoteControl.Data.Temp
2008-06-18 19:23 . 2008-06-18 19:23 <DIR> d-------- C:\Programme\Bluetooth Remote Control
2008-06-17 16:40 . 2008-06-17 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\DivX
2008-06-17 16:33 . 2007-09-28 19:56 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-06-17 16:33 . 2007-09-28 19:56 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-06-17 16:33 . 2007-09-28 19:56 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-06-17 16:33 . 2007-09-28 19:56 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-06-17 16:33 . 2007-09-28 19:56 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-06-17 16:31 . 2008-06-17 16:34 <DIR> d-------- C:\Programme\DivX
2008-06-15 22:26 . 2008-06-15 22:26 <DIR> d-------- C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\LG Electronics
2008-06-15 15:12 . 2008-06-15 15:15 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\DeepBurner
2008-06-15 15:11 . 2008-06-15 15:15 <DIR> d-------- C:\Programme\Astonsoft
2008-06-13 23:17 . 2008-06-17 15:15 <DIR> d--h-c--- C:\LG3G
2008-06-13 23:13 . 2008-06-13 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\LG Electronics
2008-06-13 23:11 . 2007-07-11 10:45 21,632 --a------ C:\WINDOWS\system32\drivers\lgusbmodem.sys
2008-06-13 23:11 . 2007-07-11 15:51 19,840 --a------ C:\WINDOWS\system32\drivers\lgusbdiag.sys
2008-06-13 23:11 . 2007-07-11 10:40 12,416 --a------ C:\WINDOWS\system32\drivers\lgusbbus.sys
2008-06-13 23:10 . 2008-06-13 23:10 <DIR> d-------- C:\Programme\LG Electronics
2008-06-13 22:56 . 2008-06-13 23:00 <DIR> d-------- C:\Programme\LG PC Suite 2
2008-06-13 22:56 . 2008-06-13 23:10 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-06-11 22:29 . 2008-06-11 22:29 <DIR> d-------- C:\WINDOWS\system32\VIRepair
2008-06-11 22:16 . 2008-06-11 22:16 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-06-11 22:16 . 2008-06-11 22:16 65,183 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-06-11 22:10 . 2008-06-11 22:16 5,965 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-06-11 22:09 . 2008-06-11 22:09 <DIR> d-------- C:\WINDOWS\BricoPacks
2008-06-11 21:25 . 2008-06-11 21:26 <DIR> d-------- C:\Programme\TuneUp Utilities 2006
2008-06-11 21:24 . 2008-06-11 21:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-11 16:16 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 16:16 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 06:19 . 2008-03-01 14:53 133,120 --a------ C:\WINDOWS\system32\extmgr.dll.zottel
2008-06-09 23:11 . 2008-06-09 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\ViStart
2008-06-09 22:52 . 2008-06-09 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\Styler
2008-06-09 22:50 . 2008-06-12 17:14 <DIR> d-------- C:\WINDOWS\system32\VITrans
2008-06-09 22:49 . 2008-06-11 21:50 <DIR> d----c--- C:\VTPFiles
2008-06-09 22:49 . 2006-12-03 17:15 111,104 --a------ C:\WINDOWS\system32\Uharc.exe
2008-06-09 22:49 . 2006-12-03 17:15 69,632 --a------ C:\WINDOWS\system32\moveex.exe
2008-06-09 22:49 . 2006-12-03 17:15 19,968 --a------ C:\WINDOWS\system32\reico.exe
2008-06-09 22:49 . 2006-12-03 17:14 8,636 --a------ C:\WINDOWS\system32\modifype.exe
2008-06-09 22:38 . 2008-06-09 22:38 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\Vista Start Menu
2008-06-06 21:49 . 2008-06-22 21:53 428 --a------ C:\WINDOWS\zipgenius.xml
2008-06-06 21:48 . 2008-06-06 21:48 <DIR> d--h----- C:\WINDOWS\PIF
2008-06-05 22:53 . 2008-06-06 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\ZipGenius
2008-06-05 16:40 . 2008-06-07 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\ZipGenius
2008-06-05 16:39 . 2008-06-05 16:39 <DIR> d-------- C:\Programme\ZipGenius 6
2008-06-05 16:30 . 2008-06-05 16:30 <DIR> d-------- C:\Programme\QuickPar
2008-06-04 11:56 . 2008-06-05 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\Orbit
2008-06-02 19:13 . 2008-06-02 19:13 <DIR> d-------- C:\Programme\Apple Software Update
2008-06-02 19:13 . 2008-06-02 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-06-02 18:03 . 2008-06-04 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\Orbit
2008-06-02 18:02 . 2008-06-05 17:06 <DIR> d-------- C:\Programme\Orbitdownloader
2008-06-02 16:16 . 2008-06-02 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\uTorrent
2008-06-01 19:48 . 2008-06-01 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\Eltern\Anwendungsdaten\uTorrent
2008-06-01 13:51 . 2008-06-01 13:51 <DIR> d-------- C:\Programme\7-ZipPortable
2008-05-31 23:26 . 2008-06-20 22:10 <DIR> d-------- C:\Programme\Pcsx2_0.9.4_Binaries
2008-05-29 14:07 . 2008-05-30 20:13 1,025,217 --a------ C:\WINDOWS\setupapi.log.2.old
2008-05-29 14:07 . 2008-05-30 23:28 1,025,062 --a------ C:\WINDOWS\setupapi.log.5.old
2008-05-29 14:07 . 2008-05-30 18:42 1,024,757 --a------ C:\WINDOWS\setupapi.log.1.old
2008-05-29 14:07 . 2008-05-30 17:15 1,024,732 --a------ C:\WINDOWS\setupapi.log.0.old
2008-05-29 14:07 . 2008-05-31 01:50 1,024,571 --a------ C:\WINDOWS\setupapi.log.6.old
2008-05-29 14:07 . 2008-05-30 22:20 1,024,027 --a------ C:\WINDOWS\setupapi.log.4.old
2008-05-29 14:07 . 2008-05-30 21:10 1,024,027 --a------ C:\WINDOWS\setupapi.log.3.old
2008-05-27 22:07 . 2008-05-27 22:07 <DIR> d-------- C:\Programme\thriXXX
2008-05-26 21:11 . 2008-05-26 21:14 <DIR> d-------- C:\Programme\BearShare
2008-05-26 21:02 . 2008-05-26 21:02 <DIR> d-------- C:\Programme\BearShare Applications
2008-05-25 21:59 . 2008-05-25 21:59 <DIR> d-------- C:\Programme\uTorrent
2008-05-25 20:48 . 2008-05-25 20:48 <DIR> d-------- C:\Programme\CCleaner
2008-05-25 20:46 . 2004-12-06 21:31 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-23 09:32 19,496,992 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-23 09:29 231,548 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-23 09:28 --------- d-----w C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\uTorrent
2008-06-22 23:57 --------- d-----w C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\Skype
2008-06-22 20:52 --------- d-----w C:\Dokumente und Einstellungen\Eltern\Anwendungsdaten\Skype
2008-06-22 19:13 34,312 ----a-w C:\WINDOWS\system32\drivers\blueletaudio.sys
2008-06-22 19:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-06-22 17:50 --------- d-----w C:\Dokumente und Einstellungen\Eltern\Anwendungsdaten\SlimBrowser
2008-06-21 22:26 --------- d-----w C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\SlimBrowser
2008-06-21 21:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-21 19:33 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-20 21:27 --------- d-----w C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\SlimBrowser
2008-06-17 09:45 --------- d-----w C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\Skype
2008-06-02 17:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-06-01 14:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-05-26 19:07 --------- d-----w C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\BearShare
2008-05-25 18:47 --------- d-----w C:\Programme\Java
2008-05-25 18:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-24 15:56 --------- d-----w C:\Dokumente und Einstellungen\Eltern\Anwendungsdaten\AdobeUM
2008-05-12 19:25 --------- d-----w C:\Programme\Project64 1.6
2008-05-11 06:36 --------- d-----w C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\ICQ
2008-05-10 16:11 --------- d-----w C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\ICQ
2008-05-09 22:05 --------- d-----w C:\Dokumente und Einstellungen\Eltern\Anwendungsdaten\ICQ
2008-05-09 22:02 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-09 22:02 --------- d-----w C:\Programme\SlimBrowser
2008-05-09 22:02 --------- d-----w C:\Programme\Sierra On-Line
2008-05-09 22:02 --------- d-----w C:\Programme\IntelliComplete
2008-05-09 22:02 --------- d-----w C:\Programme\ICQToolbar
2008-05-08 19:50 --------- d-----w C:\Programme\Blender Foundation
2008-05-08 19:50 --------- d-----w C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\Blender Foundation
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 11:58 --------- d-----w C:\Programme\Codemasters
2008-05-08 11:42 --------- d-----w C:\Programme\worms2
2008-05-04 13:37 --------- d-----w C:\Programme\TVAnts
2008-05-03 17:19 --------- d-----w C:\Dokumente und Einstellungen\Arne\Anwendungsdaten\TVU Networks
2008-05-03 17:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-03-28 13:50 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-03-28 13:50 249,856 ------w C:\WINDOWS\Setup1.exe
2007-12-21 00:42 22,328 -c--a-w C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\PnkBstrK.sys
2006-01-17 16:10 405,504 --sh--r C:\WINDOWS\system32\w?aclt.exe
2006-02-02 20:54 132,293 -csha-w C:\WINDOWS\system32\xcrfsys.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC94DF4A-33B4-4311-A880-E601D2F33A9E}]
2006-02-10 13:54 13286 --a------ C:\WINDOWS\system32\rasautod.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C4726-F2B9-A91C-C91A-FFBAAA344294}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C4727-F2BA-DD1C-C91A-FFBAAA344294}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C472E-F2B9-A91A-C91A-89BADF3C4294}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB5C472F-F2B9-DA68-C96F-8ABAAE3642E1}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E4A847F1-5B48-43FE-ACA3-6C0ED65EA4EC}"= "C:\WINDOWS\vrmdtneg.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{e4a847f1-5b48-43fe-aca3-6c0ed65ea4ec}]
[HKEY_CLASSES_ROOT\vrmdtneg.1]
[HKEY_CLASSES_ROOT\TypeLib\{7AE7F28A-1E89-49D1-9F2B-50AA25B90C6E}]
[HKEY_CLASSES_ROOT\vrmdtneg]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20 20058152]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-19 13:45 68856]
"Fraps"="E:\FRAPS\FRAPS.EXE" [2006-06-18 15:46 2834432]
"RocketDock"="C:\Programme\RocketDock\RocketDock.exe" [2008-02-21 16:16 495616]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"ICQ"="C:\Dokumente und Einstellungen\Arne\Eigene Dateien\ICQ\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"uTorrent"="C:\Programme\uTorrent\uTorrent.exe" [2008-05-25 21:59 219952]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 09:23 221568]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 11:12 695808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"SoundMan"="SOUNDMAN.EXE" [2003-01-20 10:48 47104 C:\WINDOWS\SOUNDMAN.EXE]
"CloneCDTray"="D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 20:39 262401]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2002-10-08 11:03 155648]
"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 16:37 286720]
"PCMService"="C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe" [2003-03-01 19:57 57344]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 21:12 30248]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 21:10 46632]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 21:31 36975]
"QuickTime Task"="C:\Dokumente und Einstellungen\Arne\Eigene Dateien\Eigene Daten\LAMEnd\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"BtTray"="C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe" [2008-06-22 21:13 258134]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 18:35 1294336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoMSAppLogo5ChannelNotify"= 0 (0x0)
"NoBandCustomize"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wpvmqosg"= {C56FEC77-092E-41BE-8DD4-619990EEE70C} - C:\WINDOWS\wpvmqosg.dll [ ]
"xvorfwbd"= {D08C9EE6-1C9F-4E57-B409-352D600DA4D2} - C:\WINDOWS\xvorfwbd.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sysfrcx]
sysfrcx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ControlCenter3"=C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
"My Web Search Bar"=rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
"PPort11reminder"="C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-20 20:39]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-20 20:39]
R2 BlueSoleilCS;BlueSoleilCS;C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2008-06-22 21:13]
R2 UacFlt;Philips Composite Class Filter Driver;C:\WINDOWS\system32\DRIVERS\uacbflt.sys [2002-06-14 07:40]
R3 BsHelpCS;BsHelpCS;C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe [2007-08-17 15:58]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-11-04 15:29]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-11-04 15:32]
R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-12-09 18:21]
S0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-12-17 18:36]
S1 lkbdhlpr;Logitech Keyboard Class Helper Driver;C:\WINDOWS\system32\Drivers\lkbdhlpr.sys []
S3 snpstd2;Profilo WebCam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-12-16 18:14]
S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 17:44]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LGInstaller.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f60992cb-f729-11dc-a8d2-487444737531}]
\Shell\AutoRun\command - M:\Autorun.exe /run
\Shell\Shell00\Command - M:\Autorun.exe /run
\Shell\Shell01\Command - M:\Autorun.exe /action
\Shell\Shell02\Command - M:\Autorun.exe /uninstall

.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 16:22:49 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-06-20 18:10:44 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 11:31:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\RocketDock\RocketDock.dll
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\UAService7.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-23 11:48:08 - machine was rebooted [Arne]
ComboFix-quarantined-files.txt 2008-06-23 09:47:54

17 Verzeichnis(se), 5,821,571,072 Bytes frei
21 Verzeichnis(se), 8,113,766,400 Bytes frei

318 --- E O F --- 2008-06-20 23:16:01
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
danke schoma im vorraus,

euer fosekosz
Seitenanfang Seitenende
23.06.2008, 12:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

1.
wende datfindbat an ...die logs sind nach datum geordnet, poste hier von jedem bis (Januar 2006)
http://virus-protect.org/datfindbat.html

2.
wende an (alles anhaken, wie beschrieben) - poste den report
http://virus-protect.org/artikel/tools/otscanit.html


ist für mich...

Zitat

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
C:\WINDOWS\neltabxw.exe


2006-01-17 16:10 405,504 --sh--r C:\WINDOWS\system32\w?aclt.exe
2006-02-02 20:54 132,293 -csha-w C:\WINDOWS\system32\xcrfsys.dat


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC94DF4A-33B4-4311-A880-E601D2F33A9E}]
2006-02-10 13:54 13286 --a------ C:\WINDOWS\system32\rasautod.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C4726-F2B9-A91C-C91A-FFBAAA344294}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C4727-F2BA-DD1C-C91A-FFBAAA344294}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C472E-F2B9-A91A-C91A-89BADF3C4294}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB5C472F-F2B9-DA68-C96F-8ABAAE3642E1}]
2006-01-17 18:09 139264 --a------ C:\WINDOWS\system32\hjx.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E4A847F1-5B48-43FE-ACA3-6C0ED65EA4EC}"= "C:\WINDOWS\vrmdtneg.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{e4a847f1-5b48-43fe-aca3-6c0ed65ea4ec}]
[HKEY_CLASSES_ROOT\vrmdtneg.1]
[HKEY_CLASSES_ROOT\TypeLib\{7AE7F28A-1E89-49D1-9F2B-50AA25B90C6E}]
[HKEY_CLASSES_ROOT\vrmdtneg]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sysfrcx]
sysfrcx.dll - Keylogger

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wpvmqosg"= {C56FEC77-092E-41BE-8DD4-619990EEE70C} - C:\WINDOWS\wpvmqosg.dll [ ]
"xvorfwbd"= {D08C9EE6-1C9F-4E57-B409-352D600DA4D2} - C:\WINDOWS\xvorfwbd.dll [ ]



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2008, 13:59
...neu hier

Themenstarter

Beiträge: 3
#3 hier datfind.bat (alles was ältr as 01.01.2006 war hab ich rausgenommen)
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: EEBE-57E1

Verzeichnis von c:\

23.06.2008 13:45 0 dirdat.txt
23.06.2008 12:35 0 Tech_Vista.log
23.06.2008 11:48 23.073 ComboFix.txt
23.06.2008 11:30 805.306.368 pagefile.sys
23.06.2008 02:21 237 debugInstaller.txt
22.06.2008 20:46 0 EPG_Chan.log
18.06.2008 19:52 198.774 RemoteControl.Data.Temp
01.06.2008 22:25 16 UsageTrack.txt
17.05.2008 00:13 350 log.udt
08.04.2008 18:26 7.656 TimeLine.log
30.07.2007 10:36 321 boot.ini
19.12.2006 22:38 125 DelUS.bat

19 Datei(en) 805.840.620 Bytes
0 Verzeichnis(se), 9.446.088.704 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: EEBE-57E1

Verzeichnis von C:\WINDOWS\system32

23.06.2008 13:05 2.000 SHORTCUT.INI
23.06.2008 13:05 112 REMOTEDEVICE.INI
23.06.2008 13:03 4.557 LOCALSERVICE.INI
23.06.2008 11:40 358.830 vsconfig.xml
23.06.2008 11:35 97 LOCALDEVICE.INI
23.06.2008 11:35 968 bscs.ini
23.06.2008 11:25 2.206 wpa.dbl
22.06.2008 21:10 0 BSPRINT.INI
22.06.2008 21:08 0 0
21.06.2008 19:34 397.682 perfh009.dat
21.06.2008 19:34 60.956 perfc009.dat
21.06.2008 19:34 412.186 perfh007.dat
21.06.2008 19:34 73.530 perfc007.dat
21.06.2008 19:34 956.572 PerfStringBackup.INI
11.06.2008 22:18 354.568 FNTCACHE.DAT
11.06.2008 22:16 219.648 uxtheme.dll
30.05.2008 01:35 17.486.968 MRT.exe
08.05.2008 13:46 47.104 KMVIDC32.DLL
20.03.2008 10:03 1.845.376 win32k.sys
01.03.2008 14:53 133.120 extmgr.dll.zottel
26.02.2008 13:59 294.912 msctf.dll
21.02.2008 14:11 2.117.632 python25.dll
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 148.992 dnsapi.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
13.02.2008 10:54 127 MRT.INI
18.01.2008 17:49 4.212 zllictbl.dat
...
25.03.2006 21:22 8.464 sporder.dll
24.03.2006 06:37 49.152 wdigest.dll
19.03.2006 14:34 167.936 SerialCE.dll
19.03.2006 14:34 167.936 SerialXP.dll
17.03.2006 02:38 28.672 verclsid.exe

12.03.2006 20:59 76 ~%?ÞY"T~^Ÿ>'
12.03.2006 20:59 2.080 tem shutdown
11.03.2006 17:19 816 ?z%%'Y?s%zÞY~?z~%^
11.03.2006 16:05 1.046 creensaver started
06.03.2006 18:15 122.880 UAService7.exe
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
10.02.2006 13:54 13.286 rasautod.dll
03.02.2006 09:43 2.332.368 d3dx9_29.dll
03.02.2006 09:42 230.096 xactengine2_0.dll
03.02.2006 09:41 14.032 x3daudio1_0.dll
02.02.2006 22:54 132.293 xcrfsys.dat
17.01.2006 18:10 405.504 w?aclt.exe
17.01.2006 18:09 139.264 hjx.dll

17.01.2006 01:03 126.976 BrfxD05a.dll
04.01.2006 05:35 68.096 webclnt.dll

2367 Datei(en) 536.854.400 Bytes
0 Verzeichnis(se), 9.445.990.400 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: EEBE-57E1

Verzeichnis von C:\WINDOWS

23.06.2008 13:18 1.385.241 WindowsUpdate.log
23.06.2008 11:50 53.248 PSEXESVC.EXE
23.06.2008 11:32 159 wiadebug.log
23.06.2008 11:32 50 wiaservc.log
23.06.2008 11:31 227 system.ini
23.06.2008 11:30 2.048 bootstat.dat
23.06.2008 11:29 32.594 SchedLgU.Txt
22.06.2008 21:53 428 zipgenius.xml
22.06.2008 21:10 32 0
22.06.2008 20:12 54.156 QTFont.qfn
22.06.2008 18:00 1.409 QTFont.for
20.06.2008 23:25 81.920 neltabxw.exe
17.06.2008 20:54 1.979 wincmd.ini
11.06.2008 22:16 5.965 BricoPackFoldersDelete.cmd
11.06.2008 22:16 65.183 BricoPackUninst.txt
11.06.2008 22:16 65.183 BricoPackUninst.cmd
11.06.2008 22:16 3.932.214 BricoPack Wallpaper.bmp
06.06.2008 20:04 7.168 Thumbs.db
01.06.2008 18:45 155 winamp.ini
31.05.2008 01:50 1.024.571 setupapi.log.6.old
30.05.2008 23:36 50.688 ALCFDRTM.VER
30.05.2008 23:28 1.025.062 setupapi.log.5.old
30.05.2008 22:20 1.024.027 setupapi.log.4.old
30.05.2008 21:10 1.024.027 setupapi.log.3.old
30.05.2008 20:13 1.025.217 setupapi.log.2.old
30.05.2008 18:42 1.024.757 setupapi.log.1.old
30.05.2008 17:15 1.024.732 setupapi.log.0.old
17.05.2008 13:56 205 videodeLuxe.INI
17.04.2008 19:39 332 desctemp.dat
03.04.2008 22:19 12.010 cdplayer.ini
01.04.2008 20:27 2.456 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
29.03.2008 13:02 748 PyScripter.ini
28.03.2008 16:37 9.526 ModemLog_Bluetooth DUN Modem.txt
28.03.2008 15:50 249.856 Setup1.exe
28.03.2008 15:50 73.216 ST6UNST.EXE
27.02.2008 20:42 149 brpcfx.ini
27.02.2008 20:42 277 Brpfx04a.ini
19.12.2007 21:07 311 game.ini
13.12.2007 20:27 42.384 zllsputility_loc0407.dll
13.12.2007 20:27 75.248 zllsputility.exe
06.12.2007 22:16 23 VI20.set
26.11.2007 17:36 27 BRPP2KA.INI
26.11.2007 17:36 425 BRWMARK.INI
06.11.2007 11:03 3.686.454 ACD Hintergrund.bmp
20.10.2007 15:14 31.680 maxlink.ini
14.10.2007 16:02 801 unins000.dat
14.10.2007 16:02 640.957 unins000.exe
30.09.2007 12:18 3.194 tm.ini
28.09.2007 20:18 114 tdf.dii
11.08.2007 13:36 276 CS_MD_T.ini
31.07.2007 15:06 922 eReg.dat
30.07.2007 10:36 1.170 win.ini
29.07.2007 14:50 38 wininit.ini
29.07.2007 14:44 4.096 d3dx.dat
13.06.2007 15:21 1.036.288 explorer.exe
07.06.2007 20:50 316.640 WMSysPr9.prx
28.03.2007 18:27 766 CoD.INI
05.03.2007 11:51 360.580 eSellerateEngine.dll
23.02.2007 16:57 94.208 eSellerateControl365.dll
15.02.2007 13:54 131.072 brunin03.dll
15.01.2007 01:06 2.171.904 Free Fire Screensaver.scr
27.12.2006 21:56 142 SIERRA.INI
17.12.2006 21:18 382 3Gsauron.INI
15.11.2006 15:26 18.432 ss3unstl.exe
10.08.2006 17:01 4 num41.jbd
10.08.2006 17:01 4 info147.sys
03.08.2006 21:19 0 LiveBilliardsDemo.INI
24.05.2006 18:11 89 vpetting.ini
10.03.2006 09:12 11.263.635 POKERM~1.CAB
09.01.2006 16:22 583 PowerReg.dat
09.01.2006 16:21 0 trace.txt
205 Datei(en) 75.283.018 Bytes
0 Verzeichnis(se), 9.446.014.976 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: EEBE-57E1

Verzeichnis von C:\DOKUME~1\Arne\LOKALE~1\Temp

23.06.2008 11:37 0 JETD3DD.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 9.445.994.496 Bytes frei
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
das otscan-resultat folgt bald...
Seitenanfang Seitenende
23.06.2008, 15:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\w?aclt.exe

beachte: das Fragezeichen erscheint nur hier, auf deinem System erscheinen statt dessen kryptische Zeichen
suche per Datum: 17.01.2006 18:10

C:\WINDOWS\system32\hjx.dll
C:\WINDOWS\system32\rasautod.dll
C:\WINDOWS\SYSTEM32\sysfrcx.dll
C:\WINDOWS\system32\SerialXP.dll
C:\WINDOWS\neltabxw.exe


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2008, 16:52
...neu hier

Themenstarter

Beiträge: 3
#5 «

w?aclt.exe:

Datei w__aclt.exe empfangen 2008.06.23 16:30:44 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.22.0 2008.06.23 -
AntiVir 7.8.0.59 2008.06.23 -
Authentium 5.1.0.4 2008.06.21 W32/PurityScan.A.gen!Eldorado
Avast 4.8.1195.0 2008.06.23 Win32:purityScan-P
AVG 7.5.0.516 2008.06.23 -
BitDefender 7.2 2008.06.23 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.23 -
DrWeb 4.44.0.09170 2008.06.23 Adware.ClickSpring.origin
eSafe 7.0.15.0 2008.06.23 -
eTrust-Vet 31.6.5897 2008.06.23 -
Ewido 4.0 2008.06.23 -
F-Prot 4.4.4.56 2008.06.21 W32/PurityScan.A.gen!Eldorado
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.23 Adware/ValueAd
GData 2.0.7306.1023 2008.06.23 Win32:purityScan-P
Ikarus T3.1.1.26.0 2008.06.23 not-a-virus:AdWare.Win32.PurityScan.dv
Kaspersky 7.0.0.125 2008.06.23 -
McAfee 5322 2008.06.20 potentially unwanted program Adware-ValueAd
Microsoft 1.3604 2008.06.23 Adware:Win32/Clickspring.C
NOD32v2 3209 2008.06.23 a variant of Win32/Adware.MediaTickets
Norman 5.80.02 2008.06.23 -
Panda 9.0.0.4 2008.06.22 Suspicious file
Prevx1 V2 2008.06.23 Malicious Software
Rising 20.50.02.00 2008.06.23 -
Sophos 4.30.0 2008.06.23 PurityScan
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.23 Adware.Purityscan
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.23 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.23 -
weitere Informationen
File size: 405504 bytes
MD5...: 97d82f0b40f7d97236ee8414746d5422
SHA1..: abdc5505a4d784117095c6a310d7cc9022cda2e0
SHA256: d6923087d6f2450d0fda3e80482b0a6af7272fc734a5f939a154629635bacbdc
SHA512: cc56dd32816eef7b5847eca53f241e303d5a74f8c63ac91a09558d27542d58cf
0af4dfaf1b03d77a40bb5084b7b18ec4bec0dfef66a5636ec15618f3f706221a
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x424732
timedatestamp.....: 0x43cd16fa (Tue Jan 17 16:10:34 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x469ba 0x47000 6.57 9f059cce85a58701da5b232ec643061a
.rdata 0x48000 0x10620 0x11000 4.87 848a820a317e4cf81d22e922e701ae47
.data 0x59000 0x23579 0x6000 3.45 e2f471f6e84a687e12552dcb05c5993a
.rsrc 0x7d000 0x3390 0x4000 3.18 85518ccba06dd3fb5168ec1a0342fcd1

( 16 imports )
> SHLWAPI.dll: SHGetValueW, SHSetValueW, SHSetValueA, SHDeleteValueA, SHGetValueA
> KERNEL32.dll: GlobalAddAtomA, GlobalGetAtomNameA, GlobalUnlock, GlobalLock, lstrcatA, GlobalDeleteAtom, GlobalFindAtomA, GetCurrentThreadId, GlobalFree, GetThreadLocale, GetFileAttributesA, GetFullPathNameA, GetDiskFreeSpaceA, lstrcmpA, GlobalAlloc, MulDiv, SetLastError, TlsAlloc, GlobalHandle, TlsFree, GlobalReAlloc, TlsSetValue, LocalReAlloc, TlsGetValue, GlobalFlags, GetProcessVersion, GetCPInfo, GetOEMCP, DuplicateHandle, GetCurrentProcess, FlushFileBuffers, LockFile, UnlockFile, SetEndOfFile, GetVersion, GetStringTypeExA, LocalFileTimeToFileTime, SystemTimeToFileTime, WritePrivateProfileStringA, SetErrorMode, RtlUnwind, GetLocalTime, RaiseException, GetStartupInfoA, GetCommandLineA, ExitProcess, GetACP, ExitThread, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, InterlockedExchange, FormatMessageA, OpenEventA, OpenMutexA, VirtualQuery, Sleep, lstrcmpiA, GetVolumeInformationA, OutputDebugStringA, TerminateProcess, SuspendThread, lstrcpynA, GetModuleFileNameW, lstrlenW, GetShortPathNameA, SetFilePointer, FindFirstFileW, FindClose, GetModuleHandleA, OpenProcess, GetLocaleInfoA, lstrcpyA, SetUnhandledExceptionFilter, FindFirstFileA, RemoveDirectoryA, FindNextFileA, CreateDirectoryA, GetWindowsDirectoryA, GetSystemDirectoryW, CreateDirectoryW, GetLongPathNameW, CreateProcessW, lstrlenA, CopyFileW, CreateFileW, SetFileTime, SetFileAttributesW, SetFileAttributesA, GetShortPathNameW, GetSystemDirectoryA, CopyFileA, HeapSize, LoadLibraryA, GetProcAddress, FreeLibrary, GetTickCount, GetTimeZoneInformation, ResumeThread, InterlockedIncrement, WaitForMultipleObjects, CreateEventA, FileTimeToLocalFileTime, FileTimeToSystemTime, GetSystemTime, CreateMutexA, GetVersionExA, GetSystemDefaultLangID, InterlockedDecrement, FindResourceA, LoadResource, LockResource, OpenFileMappingA, CreateProcessA, CreateWaitableTimerA, CancelWaitableTimer, SetWaitableTimer, WideCharToMultiByte, GetCurrentThread, GetThreadPriority, SetThreadPriority, GetExitCodeThread, UnmapViewOfFile, CreateFileMappingA, MapViewOfFile, WaitForSingleObject, ResetEvent, SetEvent, ReleaseMutex, GetFileSize, ReadFile, HeapReAlloc, GetModuleFileNameA, LocalAlloc, LocalFree, GetLastError, CreateThread, GetTempPathA, GetTempFileNameA, DeleteFileA, WriteFile, GetPrivateProfileIntA, GetPrivateProfileStringA, GetCurrentProcessId, GetFileTime, GetSystemTimeAsFileTime, CreateFileA, CloseHandle, MultiByteToWideChar, HeapAlloc, GetProcessHeap, HeapFree, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, MoveFileA
> USER32.dll: PostThreadMessageA, RegisterClipboardFormatA, MessageBeep, GetNextDlgGroupItem, CharUpperA, SetRect, CopyAcceleratorTableA, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, GetDC, ReleaseDC, LoadCursorA, ClientToScreen, PtInRect, GetClassNameA, LoadStringA, FindWindowA, MapDialogRect, SetWindowContextHelpId, ShowOwnedPopups, PostQuitMessage, CharNextA, EndDialog, CreateDialogIndirectParamA, GetMessageA, TranslateMessage, ValidateRect, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetNextDlgTabItem, MoveWindow, SetWindowTextA, IsDialogMessageA, MapWindowPoints, DispatchMessageA, AdjustWindowRectEx, ScreenToClient, DeferWindowPos, GetClientRect, BeginDeferWindowPos, EndDeferWindowPos, ScrollWindow, GetScrollInfo, SetScrollInfo, ShowScrollBar, GetScrollRange, SetScrollRange, GetScrollPos, SetScrollPos, MessageBoxA, IsChild, RegisterClassA, UnregisterClassA, DestroyMenu, TrackPopupMenu, GetCursorPos, GetSubMenu, LoadMenuA, SendMessageA, SetWindowPos, DestroyWindow, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, SetPropA, GetPropA, CallWindowProcA, RemovePropA, DefWindowProcA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, OffsetRect, GetWindowPlacement, GetWindowRect, GetLastActivePopup, BringWindowToTop, IsIconic, GetFocus, EqualRect, CopyRect, GetDlgItem, InvalidateRect, GetKeyState, GetDlgCtrlID, GetMenuItemCount, GetMenuItemID, UnpackDDElParam, ReuseDDElParam, SetActiveWindow, WinHelpA, SetMenu, GetMenu, LoadIconA, GetClassInfoA, SetFocus, GetParent, GetActiveWindow, ShowWindow, GetSystemMetrics, EnableWindow, DestroyIcon, IsWindow, PostMessageA, GetWindowLongA, AnimateWindow, SystemParametersInfoA, GetWindow, GetTopWindow, GetSysColor, UpdateWindow, SetTimer, KillTimer, GetSysColorBrush, SetWindowLongA, IsWindowVisible, wsprintfA, GetWindowThreadProcessId, EnumWindows, GetWindowTextA, UnhookWindowsHookEx, RegisterWindowMessageA, SetRectEmpty, LoadAcceleratorsA, TranslateAcceleratorA, ReleaseCapture, GetCapture, PeekMessageA, SetCursor, IsWindowEnabled, GetDesktopWindow, SendDlgItemMessageA
> GDI32.dll: GetMapMode, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetViewportExtEx, GetDeviceCaps, GetBkColor, GetTextColor, CreateBitmap, GetObjectA, SetBkColor, SetTextColor, GetClipBox, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SetMapMode, SelectObject, RestoreDC, SaveDC, DeleteDC, DeleteObject, DPtoLP, LPtoDP, GetStockObject, GetWindowExtEx
> comdlg32.dll: GetSaveFileNameA, GetFileTitleA, GetOpenFileNameA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: CryptDestroyKey, RegDeleteValueA, RegCreateKeyA, RegSetValueA, RegEnumKeyA, RegQueryValueA, GetFileSecurityA, SetFileSecurityA, RegQueryInfoKeyA, RegEnumKeyExA, RegDeleteKeyA, RegOpenKeyA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, CryptCreateHash, CryptHashData, CryptVerifySignatureA, CryptDestroyHash, CryptDecrypt, CryptGetProvParam, CryptGetKeyParam, CryptGenKey, CryptExportKey, CryptImportKey, CryptGenRandom, RegCloseKey, CryptReleaseContext, CryptAcquireContextA, RegOpenKeyExA
> SHELL32.dll: ExtractIconA, SHGetFileInfoA, DragQueryFileA, DragFinish, SHGetSpecialFolderPathA, SHAppBarMessage
> COMCTL32.dll: -
> oledlg.dll: -
> ole32.dll: CoCreateInstance, GetClassFile, StgOpenStorageOnILockBytes, StgCreateDocfileOnILockBytes, CoUninitialize, CoTaskMemAlloc, CoInitialize, CoTaskMemFree, CLSIDFromProgID, CLSIDFromString, CoGetClassObject, CreateILockBytesOnHGlobal, OleInitialize, OleUninitialize, CoFreeUnusedLibraries, CoRegisterMessageFilter, CoRevokeClassObject, OleIsCurrentClipboard, OleFlushClipboard
> OLEPRO32.DLL: -
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> urlmon.dll: URLDownloadToCacheFileA
> iphlpapi.dll: GetNetworkParams
> WININET.dll: InternetCrackUrlA, InternetGetConnectedState, InternetOpenA, InternetOpenUrlA, InternetReadFile, FindFirstUrlCacheEntryA, DeleteUrlCacheEntry, FindNextUrlCacheEntryA, FindCloseUrlCache, FindFirstUrlCacheEntryExA, FindNextUrlCacheEntryExA, InternetCloseHandle

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=43E46DBE00FD6F00302D06E00301B400EFD1DA31
---------------------------------------------------------------------------
hjx.dll:

Datei hjx.dll empfangen 2008.06.23 16:37:36 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.22.0 2008.06.23 Win-Trojan/Puritysca.139264.C
AntiVir 7.8.0.59 2008.06.23 ADSPY/PuritySca.ak2
Authentium 5.1.0.4 2008.06.21 W32/Adware.NJM
Avast 4.8.1195.0 2008.06.23 Win32:Agent-RY
AVG 7.5.0.516 2008.06.23 Adware Generic.KFB
BitDefender 7.2 2008.06.23 Adware.Purityscan.AK
CAT-QuickHeal 9.50 2008.06.23 AdWare.PurityScan.ak (Not a Virus)
ClamAV 0.93.1 2008.06.23 Trojan.PurityScan.AK
DrWeb 4.44.0.09170 2008.06.23 Adware.ClickSpring.origin
eSafe 7.0.15.0 2008.06.23 Spyware.Purityscan
eTrust-Vet 31.6.5897 2008.06.23 Win32/Clspring!generic
Ewido 4.0 2008.06.23 Adware.PurityScan
F-Prot 4.4.4.56 2008.06.21 W32/Adware.NJM
F-Secure 7.60.13501.0 2008.06.20 AdWare.Win32.PurityScan.ak
Fortinet 3.14.0.0 2008.06.23 Adware/ClickSpring
GData 2.0.7306.1023 2008.06.23 Win32:Agent-RY
Ikarus T3.1.1.26.0 2008.06.23 not-a-virus:AdWare.Win32.PurityScan.ak
Kaspersky 7.0.0.125 2008.06.23 not-a-virus:AdWare.Win32.PurityScan.ak
McAfee 5322 2008.06.20 potentially unwanted program Adware-ClickSpring
Microsoft 1.3604 2008.06.23 Adware:Win32/Generic.A
NOD32v2 3209 2008.06.23 a variant of Win32/Adware.PurityScan
Norman 5.80.02 2008.06.23 W32/PurityScan.OQ
Panda 9.0.0.4 2008.06.22 Adware/PurityScan
Prevx1 V2 2008.06.23 -
Rising 20.50.02.00 2008.06.23 Trojan.DL.PurityScan.aq
Sophos 4.30.0 2008.06.23 ClickSpring
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.23 Adware.Purityscan
TheHacker 6.2.92.358 2008.06.21 Adware/PurityScan.ak
TrendMicro 8.700.0.1004 2008.06.23 -
VBA32 3.12.6.8 2008.06.23 AdWare.Win32.PurityScan.ak
VirusBuster 4.5.11.0 2008.06.23 Adware.ClickSpring.Gen
Webwasher-Gateway 6.6.2 2008.06.23 Ad-Spyware.PuritySca.ak2
weitere Informationen
File size: 139264 bytes
MD5...: df4f903253939a3e220269980eedc947
SHA1..: 6cb978899a6a3b0c042958547f3ceaa644f721bb
SHA256: 107aaf434b5f972332059e13b660e5f2157b57075cf5950948a4af2591daa573
SHA512: 674200fbcb45f4b9260680ac3ed1062d8b14ff95af70ee4a6e12869f0be64c35
4a69205ade257a09c9872f0dad2e5ddbbd0cae4ac8f532ead4b3483e28f0373d
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a00afde
timedatestamp.....: 0x43cd16d0 (Tue Jan 17 16:09:52 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14962 0x15000 6.67 83bdab89845e7772aefa89fd9ff03601
.rdata 0x16000 0x3111 0x4000 4.66 235e3b4825c49a5cdc1f4ca7ee71ce8d
.data 0x1a000 0x150ac 0x4000 2.34 8820c7140946ae55a80a69855553306e
.rsrc 0x30000 0x2b0 0x1000 1.29 811e6e901d8427f2d04c9703c851de13
.reloc 0x31000 0x2282 0x3000 3.80 81a001edf8ccab71faa85a34fcc79542

( 8 imports )
> USER32.dll: GetTopWindow, IsWindow, SendMessageA, GetSysColorBrush, wsprintfA, CharNextA, CharLowerA
> urlmon.dll: URLDownloadToCacheFileA
> ADVAPI32.dll: RegDeleteKeyA, CryptAcquireContextA, CryptGenRandom, CryptReleaseContext, RegQueryValueExA, RegEnumValueA, RegQueryInfoKeyA, RegSetValueExA, RegEnumKeyExA, RegOpenKeyExA, RegCloseKey, RegDeleteValueA, RegCreateKeyExA
> KERNEL32.dll: IsBadCodePtr, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, CompareStringA, CompareStringW, GetVolumeInformationA, IsBadReadPtr, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, CreateMutexA, CloseHandle, SetEvent, OpenEventA, ReleaseMutex, WaitForSingleObject, GetModuleHandleA, LeaveCriticalSection, EnterCriticalSection, WideCharToMultiByte, lstrlenW, MultiByteToWideChar, GetVersion, lstrlenA, GetModuleFileNameA, SizeofResource, GetVersionExA, LoadResource, FindResourceA, lstrcmpiA, lstrcpynA, IsDBCSLeadByte, UnmapViewOfFile, CreateThread, HeapAlloc, GetProcessHeap, MapViewOfFile, OpenFileMappingA, GetSystemDirectoryA, GetWindowsDirectoryA, DisableThreadLibraryCalls, InitializeCriticalSection, HeapDestroy, DeleteCriticalSection, GetFileSize, GetFileTime, CreateFileA, lstrcpyA, lstrcatA, FreeLibrary, GetProcAddress, LoadLibraryA, HeapFree, GetLastError, GetCommandLineA, CopyFileA, IsProcessorFeaturePresent, InterlockedDecrement, InterlockedIncrement, SetUnhandledExceptionFilter, GetLocaleInfoA, GetTimeZoneInformation, ReadFile, VirtualQuery, OpenMutexA, CreateProcessA, CreateProcessW, GetLongPathNameW, FindClose, FindFirstFileA, WriteFile, SetFilePointer, DeleteFileA, SetFileAttributesA, SetEnvironmentVariableA, Sleep, TerminateProcess, FormatMessageA, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, LCMapStringW, LCMapStringA, GetOEMCP, GetACP, GetCPInfo, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, GetEnvironmentVariableA, TlsGetValue, SetLastError, TlsFree, TlsAlloc, TlsSetValue, GetCurrentThreadId, HeapSize, GetCurrentProcess, ExitProcess, RaiseException, GetLocalTime, GetSystemTime, HeapReAlloc, RtlUnwind, InterlockedExchange
> ole32.dll: CoTaskMemAlloc, CoTaskMemFree, StringFromGUID2, CoCreateInstance, CoTaskMemRealloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> iphlpapi.dll: GetAdaptersInfo
> WININET.dll: InternetCloseHandle, InternetOpenA, DeleteUrlCacheEntry, InternetGetConnectedState, InternetReadFile, InternetOpenUrlA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
----------------------------------------------------------------------------
sysfrcx.dll

nicht gefunden bzw. was ist der unterschied bei SYSTEM32 zwischen groß geschrieben und klein geschrieben?
----------------------------------------------------------------------------
SerialXP.dll

Datei SerialXP.dll empfangen 2008.06.23 16:48:04 (CET)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.22.0 2008.06.23 -
AntiVir 7.8.0.59 2008.06.23 -
Authentium 5.1.0.4 2008.06.21 -
Avast 4.8.1195.0 2008.06.23 -
AVG 7.5.0.516 2008.06.23 -
BitDefender 7.2 2008.06.23 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.23 -
DrWeb 4.44.0.09170 2008.06.23 -
eSafe 7.0.15.0 2008.06.23 -
eTrust-Vet 31.6.5897 2008.06.23 -
Ewido 4.0 2008.06.23 -
F-Prot 4.4.4.56 2008.06.21 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.23 -
GData 2.0.7306.1023 2008.06.23 -
Ikarus T3.1.1.26.0 2008.06.23 -
Kaspersky 7.0.0.125 2008.06.23 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.23 -
NOD32v2 3209 2008.06.23 -
Norman 5.80.02 2008.06.23 -
Panda 9.0.0.4 2008.06.22 -
Prevx1 V2 2008.06.23 -
Rising 20.50.02.00 2008.06.23 -
Sophos 4.30.0 2008.06.23 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.23 -
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.23 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.23 -
weitere Informationen
File size: 167936 bytes
MD5...: 890cb52e4fffab712a2aa671642e4f2e
SHA1..: 3ca978c48c165e0eee173f0e9c3f6b8996b11129
SHA256: fda586a6a6f97beecd57f4bf5d8cc1dee1021529c4b38dd836c76249c5fcad25
SHA512: be6cb8cbe3d2844a2cdcfe7bed00fc37d4849006be30b69a5cdbef6893b600f2
a9d490be14f247dc3a6d7a9f69273377b27d1751a2e71d356232985dce7f1f7f
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10013845
timedatestamp.....: 0x441d5df1 (Sun Mar 19 13:34:41 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18c68 0x19000 6.59 dee0fba0eda8ff8b47eb9d6d7c78b5bc
.rdata 0x1a000 0x2cf9 0x3000 5.62 78b29e985694c8ebdf0d91bf702dbf10
.data 0x1d000 0x58c8 0x5000 2.42 853f90569a8f268bbcb9dbef5296c079
.rsrc 0x23000 0x3600 0x4000 4.17 6b6f673d5a8702d73145a86dd73707a6
.reloc 0x27000 0x2070 0x3000 4.00 85d95ea224b4b00fde71b4fe0b61014c

( 6 imports )
> KERNEL32.dll: EscapeCommFunction, SetCommTimeouts, GetCommTimeouts, SetCommState, GetCommState, ReadFile, WriteFile, SetCommMask, SetupComm, GetCommModemStatus, GetOverlappedResult, WaitCommEvent, DeviceIoControl, MultiByteToWideChar, lstrlenA, lstrcpyA, DisableThreadLibraryCalls, lstrlenW, GetShortPathNameA, GetModuleFileNameA, WideCharToMultiByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, lstrcmpiA, lstrcpynA, IsDBCSLeadByte, HeapDestroy, GetProcAddress, LoadLibraryA, lstrcatA, FlushInstructionCache, GetCurrentProcess, GlobalUnlock, GlobalLock, PurgeComm, FlushFileBuffers, SetStdHandle, GetOEMCP, GetACP, LCMapStringW, LCMapStringA, GetCPInfo, GetStringTypeW, GetStringTypeA, SetFilePointer, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TerminateProcess, RtlUnwind, VirtualAlloc, VirtualFree, HeapCreate, GetEnvironmentVariableA, CreateFileA, GetCurrentThreadId, CreateThread, GetVersionExA, InterlockedDecrement, InitializeCriticalSection, InterlockedIncrement, GetLastError, GetModuleHandleA, WaitForMultipleObjects, WaitForSingleObject, ResetEvent, SetEvent, CloseHandle, CreateEventA, GetTickCount, GetSystemTime, GetLocalTime, SystemTimeToFileTime, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, GlobalAlloc, ExitProcess, TlsGetValue, SetLastError, TlsFree, TlsAlloc, TlsSetValue, GetVersion, GetCommandLineA, HeapReAlloc, HeapAlloc, HeapFree
> USER32.dll: CreateWindowExA, DestroyWindow, DefWindowProcA, RegisterClassA, MessageBoxA, wsprintfA, LoadStringA, CharNextA, GetKeyState, PtInRect, UnionRect, ShowWindow, PostMessageA, SetWindowLongA, BeginPaint, GetClientRect, EndPaint, InvalidateRect, GetDC, ReleaseDC, IntersectRect, EqualRect, OffsetRect, SetWindowRgn, SetWindowPos, IsWindow, GetParent, SetFocus, GetFocus, IsChild, GetClassInfoExA, LoadCursorA, RegisterClassExA, CallWindowProcA, GetWindowLongA
> GDI32.dll: CreateDCA, LPtoDP, SetMapMode, SetViewportOrgEx, DeleteDC, GetDeviceCaps, SaveDC, SetWindowOrgEx, SetWindowExtEx, RestoreDC, CloseMetaFile, DeleteMetaFile, CreateRectRgnIndirect, Rectangle, CreateMetaFileA
> ADVAPI32.dll: RegQueryInfoKeyA, RegSetValueExA, RegQueryValueExA, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey
> ole32.dll: CoTaskMemFree, CoCreateFreeThreadedMarshaler, CoTaskMemAlloc, CoTaskMemRealloc, OleRegEnumVerbs, OleRegGetUserType, OleRegGetMiscStatus, CreateDataAdviseHolder, CoCreateInstance, OleLoadFromStream, WriteClassStm, OleSaveToStream, CreateOleAdviseHolder, ProgIDFromCLSID
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 27 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, _Error_ErrDesc@8, _Error_ErrNum@4, _VPort_DataFromPort2@20, _VPort_DataFromPort3@8, _VPort_DataFromPort@16, _VPort_DataToPort@8, _VPort_Delete@4, _VPort_EscapeZeros@4, _VPort_GetBufferSize@4, _VPort_GetComPort@4, _VPort_GetCreated@4, _VPort_GetEndTrigger@8, _VPort_GetErrHandle@4, _VPort_GetStartTrigger@8, _VPort_GetTimeout@4, _VPort_New@0, _VPort_PortStatus@12, _VPort_SetBufferSize@8, _VPort_SetComPort@8, _VPort_SetCreated@8, _VPort_SetEndTrigger@8, _VPort_SetStartTrigger@8, _VPort_SetTimeout@8
----------------------------------------------------------------------------
neltabxw.exe

Datei neltabxw.exe empfangen 2008.06.23 16:49:44 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.22.0 2008.06.23 -
AntiVir 7.8.0.59 2008.06.23 -
Authentium 5.1.0.4 2008.06.21 -
Avast 4.8.1195.0 2008.06.23 -
AVG 7.5.0.516 2008.06.23 -
BitDefender 7.2 2008.06.23 -
CAT-QuickHeal 9.50 2008.06.23 TrojanDownloader.Small.z
ClamAV 0.93.1 2008.06.23 -
DrWeb 4.44.0.09170 2008.06.23 -
eSafe 7.0.15.0 2008.06.23 -
eTrust-Vet 31.6.5897 2008.06.23 Win32/Pripecs!generic
Ewido 4.0 2008.06.23 -
F-Prot 4.4.4.56 2008.06.21 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.23 -
GData 2.0.7306.1023 2008.06.23 -
Ikarus T3.1.1.26.0 2008.06.23 Trojan.Win32.Small.ZZB
Kaspersky 7.0.0.125 2008.06.23 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.23 Trojan:Win32/Small.ZZB
NOD32v2 3209 2008.06.23 -
Norman 5.80.02 2008.06.23 -
Panda 9.0.0.4 2008.06.22 -
Prevx1 V2 2008.06.23 Malicious Software
Rising 20.50.02.00 2008.06.23 Trojan.Win32.Vapsup.eml
Sophos 4.30.0 2008.06.23 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.23 -
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.23 -
weitere Informationen
File size: 81920 bytes
MD5...: e57f87ee85e057f16e9e10fbd851d717
SHA1..: 7a1ff54ff1c5b81e50d51a5028c2017f1722c965
SHA256: 9229b5d6d4b1de11b22c31f8c5576bc2251a98948ccb66777096052f624ea813
SHA512: 3a0e65abdf182d8974bf3f677763651f452b4384a34b1df7b7ca0b3c6574fb80
ad5ea71797b52f22b1c0d82cae605a9d6fbd9939d53e4544c0ec45b8b61ea9c5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403d98
timedatestamp.....: 0x485c18a3 (Fri Jun 20 20:52:51 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaf37 0xb000 6.59 d2bb7a29dff3a97a8d643e03198ef986
.rdata 0xc000 0x42cc 0x5000 4.70 f3cb98ea5907850a654cd2b93fc7c573
.data 0x11000 0x2e04 0x2000 1.53 ce44bc12ce16de6dfdf21cf35dde9a40
.rsrc 0x14000 0xb0 0x1000 3.06 cec9b95146f57b35474dc9da6c445146

( 3 imports )
> KERNEL32.dll: TerminateProcess, GetLastError, LoadLibraryW, SetLastError, GetCurrentProcessId, MultiByteToWideChar, GetProcAddress, CloseHandle, WriteConsoleW, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetCommandLineA, GetVersionExA, HeapAlloc, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, Sleep, HeapSize, ExitProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, LoadLibraryA, InitializeCriticalSection, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, CreateFileA
> ADVAPI32.dll: RegSetValueExW, RegDeleteValueW
> SHELL32.dll: SHGetSpecialFolderPathW

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F1FAE6C500AD360D40CB01A9F203CE001748102B
---------------------------------------------------------------------------
danke für alles bisherige und auch das noch kommende
Seitenanfang Seitenende
23.06.2008, 17:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

1.
musst du manuell entfernen, pass auf, dass du nicht das falsche löschst...achte aufs Datum
C:\WINDOWS\system32\w?aclt.exe ->> (w__aclt.exe)
suche per Datum: 17.01.2006 18:10

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wpvmqosg"=-
"xvorfwbd"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC94DF4A-33B4-4311-A880-E601D2F33A9E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C4726-F2B9-A91C-C91A-FFBAAA344294}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C4727-F2BA-DD1C-C91A-FFBAAA344294}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA5C472E-F2B9-A91A-C91A-89BADF3C4294}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB5C472F-F2B9-DA68-C96F-8ABAAE3642E1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E4A847F1-5B48-43FE-ACA3-6C0ED65EA4EC}"=-
[-HKEY_CLASSES_ROOT\clsid\{e4a847f1-5b48-43fe-aca3-6c0ed65ea4ec}]
[-HKEY_CLASSES_ROOT\vrmdtneg.1]
[-HKEY_CLASSES_ROOT\TypeLib\{7AE7F28A-1E89-49D1-9F2B-50AA25B90C6E}]
[-HKEY_CLASSES_ROOT\vrmdtneg]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sysfrcx]

File::
C:\WINDOWS\neltabxw.exe
C:\WINDOWS\system32\rasautod.dll
C:\WINDOWS\system32\hjx.dll

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden
«
poste das neue Log von Combofix

-----------

lade ewido
ewido_micro.exe
scanne + poste den report hier
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende