Trojan Win32/Alureon.BT

#31 1.

Datei teilnahmebedingungen.pdf empfangen 2009.12.21 18:06:54 (UTC)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.21 -
AhnLab-V3 5.0.0.2 2009.12.21 -
AntiVir 7.9.1.114 2009.12.21 -
Antiy-AVL 2.0.3.7 2009.12.18 -
Authentium 5.2.0.5 2009.12.21 -
Avast 4.8.1351.0 2009.12.21 -
AVG 8.5.0.427 2009.12.21 -
BitDefender 7.2 2009.12.21 -
CAT-QuickHeal 10.00 2009.12.21 -
ClamAV 0.94.1 2009.12.21 -
Comodo 3321 2009.12.21 -
DrWeb 5.0.0.12182 2009.12.21 -
eSafe 7.0.17.0 2009.12.21 -
eTrust-Vet 35.1.7187 2009.12.21 -
F-Prot 4.5.1.85 2009.12.21 -
F-Secure 9.0.15370.0 2009.12.21 -
Fortinet 4.0.14.0 2009.12.21 -
GData 19 2009.12.21 -
Ikarus T3.1.1.79.0 2009.12.21 -
K7AntiVirus 7.10.925 2009.12.21 -
Kaspersky 7.0.0.125 2009.12.21 -
McAfee 5839 2009.12.21 -
McAfee+Artemis 5839 2009.12.21 -
McAfee-GW-Edition 6.8.5 2009.12.21 -
Microsoft 1.5302 2009.12.21 -
NOD32 4706 2009.12.21 -
Norman 6.04.03 2009.12.21 -
nProtect 2009.1.8.0 2009.12.21 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.21 -
Prevx 3.0 2009.12.21 -
Rising 22.27.00.04 2009.12.21 -
Sophos 4.49.0 2009.12.21 -
Sunbelt 3.2.1858.2 2009.12.20 -
Symantec 1.4.4.12 2009.12.21 -
TheHacker 6.5.0.3.101 2009.12.21 -
TrendMicro 9.120.0.1004 2009.12.21 -
VBA32 3.12.12.0 2009.12.19 -
ViRobot 2009.12.21.2099 2009.12.21 -
VirusBuster 5.0.21.0 2009.12.21 -

weitere Informationen
File size: 55606 bytes
MD5...: 2f3349396c8f73aca0b1a0ce9cbbf08c
SHA1..: d34706a24cd940b180ca94fa5ab89098f1d9c46d
SHA256: 6df9a6aaff91740e94b570896e8b5384049daf7746e64883a68cea5296d70721
ssdeep: 768:SNsY3P8v3r0imoUmZjxRCiF08mfehf3GOq44o4M4DCeO1GKlDj3UA2UTgy+J<BR>A6Xs:Iszv70AUmZHzdxLDX2OgyOAHEuUy<BR>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
pdfid.: PDF Header: %PDF-1.3<BR>obj 41<BR>endobj 41<BR>stream 9<BR>endstream 8<BR>xref 1<BR>trailer 1<BR>startxref 1<BR>/Page 5<BR>/Encrypt 0<BR>/ObjStm 0<BR>/JS 0<BR>/JavaScript 0<BR>/AA 0<BR>/OpenAction 0<BR>/JBIG2Decode 0<BR>
trid..: Adobe Portable Document Format (100.0%)
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

#32 2.

Datei printfilterpipelinesvc.exe empfangen 2009.12.21 18:17:11 (UTC)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.21 -
AhnLab-V3 5.0.0.2 2009.12.21 -
AntiVir 7.9.1.114 2009.12.21 -
Antiy-AVL 2.0.3.7 2009.12.18 -
Authentium 5.2.0.5 2009.12.21 -
Avast 4.8.1351.0 2009.12.21 -
AVG 8.5.0.427 2009.12.21 -
BitDefender 7.2 2009.12.21 -
CAT-QuickHeal 10.00 2009.12.21 -
ClamAV 0.94.1 2009.12.21 -
Comodo 3321 2009.12.21 -
DrWeb 5.0.0.12182 2009.12.21 -
eSafe 7.0.17.0 2009.12.21 -
eTrust-Vet 35.1.7187 2009.12.21 -
F-Prot 4.5.1.85 2009.12.21 -
F-Secure 9.0.15370.0 2009.12.21 -
Fortinet 4.0.14.0 2009.12.21 -
GData 19 2009.12.21 -
Ikarus T3.1.1.79.0 2009.12.21 -
Jiangmin 13.0.900 2009.12.21 -
K7AntiVirus 7.10.925 2009.12.21 -
Kaspersky 7.0.0.125 2009.12.21 -
McAfee 5839 2009.12.21 -
McAfee+Artemis 5839 2009.12.21 -
McAfee-GW-Edition 6.8.5 2009.12.21 -
Microsoft 1.5302 2009.12.21 -
NOD32 4707 2009.12.21 -
Norman 6.04.03 2009.12.21 -
nProtect 2009.1.8.0 2009.12.21 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.21 -
Prevx 3.0 2009.12.21 -
Rising 22.27.00.04 2009.12.21 -
Sophos 4.49.0 2009.12.21 -
Sunbelt 3.2.1858.2 2009.12.20 -
Symantec 1.4.4.12 2009.12.21 -
TheHacker 6.5.0.3.101 2009.12.21 -
TrendMicro 9.120.0.1004 2009.12.21 -
VBA32 3.12.12.0 2009.12.19 -
ViRobot 2009.12.21.2099 2009.12.21 -
VirusBuster 5.0.21.0 2009.12.21 -

weitere Informationen
File size: 666624 bytes
MD5...: d8d67bab5be82d45a98ddcb5425bb65c
SHA1..: c7eb5914900d499706cf83e254d207194b0a805a
SHA256: 0f970b1364c15fa5ef49aa5a35b2e455a384647bd1eb45c5f2cf8db3839f8c1d
ssdeep: 12288:Ef+gA351CWT6UoLE/yzsW1D2lwa6W4VLZ1JR1yquI2h:Vgg5xeUoGyzsWy<BR>WWAxOTh<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1b414<BR>timedatestamp.....: 0x49ac9e53 (Tue Mar 03 03:04:51 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x94528 0x94600 6.51 768a0564fdadf647f3956b7354fa862b<BR>.data 0x96000 0x457c 0x2200 4.31 7426f8c547e070a57f950f748fec15b3<BR>.rsrc 0x9b000 0x16c8 0x1800 4.55 35f50246a8a39fda55c23f8d1cbb7937<BR>.reloc 0x9d000 0xa6fc 0xa800 5.82 36b4409cf5844f0c2545d9ac3ea7ac60<BR><BR>( 10 imports ) <BR>&gt; ADVAPI32.dll: TraceMessage, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, RegDeleteKeyW, RegDeleteValueW, RegCloseKey, RegCreateKeyExW, RegOpenKeyExW, RegSetValueExW, RegQueryInfoKeyW, RegQueryValueExW, RegEnumKeyExW, RegisterEventSourceW, SetThreadToken, OpenThreadToken, MapGenericMask, AccessCheck, ConvertStringSecurityDescriptorToSecurityDescriptorW, ReportEventW<BR>&gt; KERNEL32.dll: GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpiW, Sleep, OutputDebugStringW, OutputDebugStringA, IsDebuggerPresent, CreateThread, CreateEventW, GetModuleHandleW, GetCurrentThreadId, SetEvent, MultiByteToWideChar, SizeofResource, LoadResource, DeleteCriticalSection, GetModuleFileNameW, RtlCaptureStackBackTrace, HeapSetInformation, DeleteTimerQueueEx, RegisterWaitForSingleObject, InterlockedCompareExchange, UnregisterWaitEx, CreateTimerQueueTimer, DeleteTimerQueueTimer, GetSystemDirectoryW, FormatMessageW, ReadFile, WaitForMultipleObjects, InitializeCriticalSectionAndSpinCount, DebugBreak, SetFilePointerEx, CreateFileW, SetEndOfFile, LoadLibraryW, FindFirstFileW, DeleteFileW, FindNextFileW, FindClose, CreateSemaphoreW, QueueUserWorkItem, ResetEvent, ReleaseSemaphore, LocalFree, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, lstrlenW, WaitForSingleObject, CloseHandle, LoadLibraryExW, GetProcAddress, FreeLibrary, FindResourceW, GetVersionExA, InterlockedExchange, WideCharToMultiByte, GetStartupInfoW, HeapAlloc, HeapFree, HeapReAlloc, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, SetUnhandledExceptionFilter, GetModuleHandleA, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThread, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, HeapSize, LoadLibraryA, GetCPInfo, GetACP, GetOEMCP, SetFilePointer, GetConsoleCP, GetConsoleMode, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetLocaleInfoW, CreateTimerQueue<BR>&gt; USER32.dll: DispatchMessageW, TranslateMessage, GetMessageW, PostThreadMessageW, LoadStringW, CharNextW, UnregisterClassA<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -<BR>&gt; ole32.dll: CoGetObjectContext, StringFromGUID2, CoCreateGuid, CoRevertToSelf, CreateStreamOnHGlobal, IIDFromString, CoResumeClassObjects, CoCreateInstance, CoTaskMemFree, CoInitializeEx, CoUninitialize, CoSuspendClassObjects, CoTaskMemAlloc, CoTaskMemRealloc, CoRevokeClassObject, CoImpersonateClient, CoRegisterClassObject<BR>&gt; ntdll.dll: RtlUnwind<BR>&gt; XpsSvcs.DLL: DDLogHelper, CreateReachPackageReceiver, CreateReachPackageSender<BR>&gt; PSAPI.DLL: EnumProcessModules, GetModuleFileNameExW, GetModuleInformation<BR>&gt; WINSPOOL.DRV: WritePrinter, SeekPrinter, ReadPrinter, StartPagePrinter, EndPagePrinter, ClosePrinter, SetJobW, DocumentPropertiesW, EndDocPrinter, StartDocPrinterW, GetPrinterDriverDirectoryW, OpenPrinterW, GetPrinterDataW<BR>&gt; prntvpt.dll: -, -, -<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Windows OCX File (68.1%)<BR>Win32 Executable MS Visual C++ (generic) (20.7%)<BR>Win32 Executable Generic (4.7%)<BR>Win32 Dynamic Link Library (generic) (4.1%)<BR>Generic Win/DOS Executable (1.1%)
sigcheck:<BR>publisher....: Microsoft Corporation<BR>copyright....: (c) Microsoft Corporation. All rights reserved.<BR>product......: Microsoft_ Windows_ Operating System<BR>description..: Print Filter Pipeline Host<BR>original name: PrintFilterPipelineSvc.exe<BR>internal name: PrintFilterPipelineSvc.exe<BR>file version.: 6.0.6001.18226 (vistasp1_gdr.090302-1506)<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

#33 Habe 3 mal versucht mit Gmer zu scannen. 2 mal ist es einfach stecken geblieben und das 3. mal abgestürzt


Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.0.6001.2.1.0.768.3
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: 50
BCP1: ACC9D000
BCP2: 00000000
BCP3: 9B318C3E
BCP4: 00000000
OS Version: 6_0_6001
Service Pack: 1_0
Product: 768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\Mini122109-01.dmp
C:\Users\hetkala\AppData\Local\temp\WER-58484-0.sysdata.xml
C:\Users\hetkala\AppData\Local\temp\WER87E4.tmp.version.txt

#34 Dann update einmal Malwarebytes AntiMalware und scanne erneut.
Malwarbytes öffnen --> Reiter UPDATE --> aktualisieren.

Mache einen Fullscan und poste das Log.

#35 Ich habe den Scan gemacht:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3410
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18865

23.12.2009 02:26:23
mbam-log-2009-12-23 (02-26-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 249971
Laufzeit: 1 hour(s), 4 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#36 Wie ich sehe hast Du die Updates noch nicht gemacht!! SP2 ist angesagt bei Vista.

Windows Update

Dein Windows und der Internet-Explorer sind nicht auf dem neuesten Stand. Besuche die Windows-Update Seite und lasse alle wichtigen Updates installieren, die Dir über die benutzerdefinierte Suche angeboten werden.

Auch wenn Du den Internet Explorer nicht als Hauptbrowser nutzt, empfehle ich Dir, den Internet Explorer 8 zu installieren. Browser sicher konfigurieren: IE 6 - IE 7.

>>>
Nun sollte eigentlich nichts mehr vorhanden sein. Die Sticks scheinen auch sauber.

#37 Gemacht hatte ich das.... von windows alles was mir als Updates mir angezeigt wurde und auch den neuen explorer ... seitdem ärgere ich mich mit meiner startseite herum. idie stellt sich immer wieder auf 1&1 und in der Fovoritenleiste ebenfalls .... da kann ich löschen und neu machen kommt immer wieder 11 ... *gr*

aber ich mach dann noch mal ..... vieleicht habe ich wo falsch gedrückt oder so ...

PS: der explover muß drauf sein, da ich immer eine meldung bekomme, das ich den einstellen soll (da drücke ich immer auf später erinnern) ...

#38 Hmmm wie meinst DU das mit dem explorere? Ja der muss drauf sein für die Updates vom MS.
Also normalerweise sollte das SP au angeboten werden ansonsten lade es hier und installiere es:
http://www.pctipp.ch/index.cfm?pid=1361&pk=47819

#39 Als du geschrieben hast, explower 8 laden und die aktullen updates, habe am 06.12. alles gemacht. Seitdem bekomme ich immer 2 Startseiten.die erste ist immer die von 1&1 und dann meine gespeicherte. Hatte ichüber extras gespeichert. So oft ich die 1. Seite dort lösche, beim nächsten explowerstart ist die wieder da.
Seit dem habe ich auch eine Favoritenleiste (beim alten explower gab es die nicht) einerseits nicht schlecht, wenn ich dort "meine" Favoriten hinterlege könnte. Aber jedesmal wenn ich die von 1&1 home, dsl,hilfe usw. gelöscht habe. sind die ebenfalls beim neustarten wider da. Vor allem habe ich keinen anschluß über 1&1 .....

Vom Explower bekomme ich ab und zu nur die erinnerung den we8 zu konfigurieren. dachte das dies zeit hat.

Vorhin habe ich noch 2 updates von vista gefunden und installiert. aber keine ahnung was as war. da stehen immer nur nummern ....

#40 bei welchem link mußich vista sp 2 laden? 32 bit oder 64 bit?

#41 Wäre dies das entsprechende update gewesen?

Update für Microsoft XML Core Services 4.0 Service Pack 2 (KB941833)

Installationsdatum: ‎13.‎07.‎2008 11:34

Installationsstatus: Fehlgeschlagen

Fehlerdetails: Code 643


oder



Internet Explorer8 für Windows Vista

Installationsdatum: 04. 12. 2009 17:21

Installationsstatus: Abgebrochen

Fehlerdetails: Code 8024000B

Updatetyp: Wichtig


Im Updateverlauf ist zu sehen, es sind auch einige andere Sicherheitsupdates fehlgeschlagen.

#42 Hmmm.. ich frage einmal ganz frech. Hast DU original Windows?

Nimm dieses SP2 und versuche es zu installieren.

Nein diese fehlgeschlagenen Updates haben nicht mit Vista SP 2 zu tun.

#43 Ja, ich denke schon das dies origanal Windows ist! Ist ein Notbook von TARGA von Lidle und hab nix verändert....

Dei Link zum SP2 gibt es nicht mehr! *m*

#44 Ooppsss Link angepasst

#45 Der Link führt mich nur zu einer Seite wo ich diese PC Zeitschrift abbonieren kann!?

Habe mal gesucht, kann ich hier dies nehmen?
http://www.chip.de/downloads/Windows-Vista-Service-Pack-2_33360511.html



Wegen dem IE8 die Setup-Full-32.exe habe ich ja och auf dem PC, wennich diese ausführen möchte, meldet er "kannnicht ausgeführt werden, da eine höhere Version bereits auf dem PC vorhandenist"? Aber im Upsate verlauf wird wiederum angezeigt "abgebrochen"? Welchen Explower habe ich nun auf dem Rechner?
Ich bin etwas verwirrt .....