Provider warnt vor Viren

#31 hi, heuristik ist auf höchster stufe?
klicke dann mal mit rechts auf das symbol im tray (neben der uhr) dann auf tools und safe log, dieses hier anhängen. dateien löschen wir per hand.

#32 also bei mir kommt kein menü mit tools wenn ich drauf gehe
siehe bild

#33 hi, sorry habs nur auf englisch, schau mal obs dort n menü werkzeuge gibt. wenn nicht mal durch klicken ob du ne möglichkeit zum log speichern findest

#34 wenns nicht klappt, windows suche, suche
PrevxLog.log

#35 das programm hat garnicht wirklich gescannt um ehrlich zu sein ich hatte es installiert

er hat zwar gescannt aber nur ca 5 min?! und das kann ja nicht sein ich meine antivir und spybot und co brauchen 1-2 stunden

er meldet auch immer nur eine datei obwohl ein programm davor ( a-squard ) weitaus mehr gemeldet hatte

#36 der scan dauert nicht lang. hast du das log gefunden oder nicht?

#37 ich hab den log gefunden also hier ist er

#38 ok, besuche:
www.virustotal.com
prüfe dort:
c:\dokumente und einstellungen\marko\desktop\test2.exe
c:\windows\system32\tubefinder.exe
falls bereits analysiert, klicke erneut prüfen, poste das ergebniss

#39 c:\dokumente und einstellungen\marko\desktop\test2.exe

diese exe ist übrigends combofix...

Zitat

Datei test2.exe empfangen 2010.04.15 12:21:55 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/40 (15%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.15 -
AhnLab-V3 5.0.0.2 2010.04.15 -
AntiVir 7.10.6.79 2010.04.15 -
Antiy-AVL 2.0.3.7 2010.04.15 -
Authentium 5.2.0.5 2010.04.15 -
Avast 4.8.1351.0 2010.04.14 -
Avast5 5.0.332.0 2010.04.14 -
AVG 9.0.0.787 2010.04.15 -
BitDefender 7.2 2010.04.15 -
CAT-QuickHeal 10.00 2010.04.15 -
ClamAV 0.96.0.3-git 2010.04.15 -
Comodo 4606 2010.04.15 ApplicUnsaf.Win32.Hide.~AB
DrWeb 5.0.2.03300 2010.04.15 -
eSafe 7.0.17.0 2010.04.14 -
eTrust-Vet 35.2.7427 2010.04.15 -
F-Prot 4.5.1.85 2010.04.15 -
F-Secure 9.0.15370.0 2010.04.15 -
Fortinet 4.0.14.0 2010.04.15 PossibleThreat
GData 19 2010.04.15 -
Ikarus T3.1.1.80.0 2010.04.15 -
Jiangmin 13.0.900 2010.04.15 Backdoor/RBot.oqm
Kaspersky 7.0.0.125 2010.04.15 -
McAfee 5.400.0.1158 2010.04.15 -
McAfee-GW-Edition 6.8.5 2010.04.15 -
Microsoft 1.5605 2010.04.15 -
NOD32 5030 2010.04.15 -
Norman 6.04.11 2010.04.15 -
nProtect 2010-04-15.02 2010.04.15 -
Panda 10.0.2.7 2010.04.14 -
PCTools 7.0.3.5 2010.04.15 Application.NirCmd
Prevx 3.0 2010.04.15 -
Rising 22.43.03.04 2010.04.15 -
Sophos 4.52.0 2010.04.15 NirCmd
Sunbelt 6179 2010.04.15 -
Symantec 20091.2.0.41 2010.04.15 -
TheHacker 6.5.2.0.262 2010.04.15 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 Trojan.Win32.Agent2.cpop
ViRobot 2010.4.15.2277 2010.04.15 -
VirusBuster 5.0.27.0 2010.04.15 -
weitere Informationen
File size: 3906815 bytes
MD5...: 87e373d23bafe9d135070bc4fa7f2af0
SHA1..: eedc1e25925d8411a55cd3846e1bdbd9cd601b3e
SHA256: c97fbcebaab231df036dd363d9647c5614a4a272cf8d6b370b2d42a2e379389e
ssdeep: 49152:IHTnOnlhwLjq/RHnQIWWVENCGubhisFIsC7Q5iPLIJH8pjAUizSwl38hVM
sXDQl/:lH+jqJHQI3PhpSCSmcpUUizZqidKU
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x25a60
timedatestamp.....: 0x4a6427af (Mon Jul 20 08:15:43 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1b000 0xb000 0xac00 7.91 1bc1245ff9048fed736ae63682ed39f4
.rsrc 0x26000 0x2000 0x1800 4.36 e4b3312c3ff4026176ec0979d40e3540

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: -
> COMDLG32.dll: GetSaveFileNameA
> GDI32.dll: DeleteDC
> ole32.dll: OleInitialize
> OLEAUT32.dll: -
> SHELL32.dll: SHGetMalloc
> USER32.dll: GetDC

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.PECompact, PecBundle, PECompact, PE_Patch.PECompact, PecBundle, PECompact, UPX, PE_Patch.UPX, UPX, UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): RAR, UPX, PecBundle, PECompact

Zitat

Datei tubefinder.exe empfangen 2010.04.15 12:25:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.15 -
AhnLab-V3 5.0.0.2 2010.04.15 -
AntiVir 7.10.6.79 2010.04.15 -
Antiy-AVL 2.0.3.7 2010.04.15 -
Authentium 5.2.0.5 2010.04.15 -
Avast 4.8.1351.0 2010.04.14 -
Avast5 5.0.332.0 2010.04.14 -
AVG 9.0.0.787 2010.04.15 -
BitDefender 7.2 2010.04.15 -
CAT-QuickHeal 10.00 2010.04.15 -
ClamAV 0.96.0.3-git 2010.04.15 -
Comodo 4606 2010.04.15 -
DrWeb 5.0.2.03300 2010.04.15 -
eSafe 7.0.17.0 2010.04.14 -
eTrust-Vet 35.2.7427 2010.04.15 -
F-Prot 4.5.1.85 2010.04.15 -
F-Secure 9.0.15370.0 2010.04.15 -
Fortinet 4.0.14.0 2010.04.15 -
GData 19 2010.04.15 -
Ikarus T3.1.1.80.0 2010.04.15 -
Jiangmin 13.0.900 2010.04.15 -
Kaspersky 7.0.0.125 2010.04.15 -
McAfee 5.400.0.1158 2010.04.15 -
McAfee-GW-Edition 6.8.5 2010.04.15 -
Microsoft 1.5605 2010.04.15 -
NOD32 5030 2010.04.15 -
Norman 6.04.11 2010.04.15 -
nProtect 2010-04-15.02 2010.04.15 -
Panda 10.0.2.7 2010.04.14 -
PCTools 7.0.3.5 2010.04.15 -
Prevx 3.0 2010.04.15 -
Rising 22.43.03.04 2010.04.15 -
Sophos 4.52.0 2010.04.15 -
Sunbelt 6179 2010.04.15 -
Symantec 20091.2.0.41 2010.04.15 -
TheHacker 6.5.2.0.262 2010.04.15 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.15.2277 2010.04.15 -
VirusBuster 5.0.27.0 2010.04.15 -
weitere Informationen
File size: 311296 bytes
MD5...: 3c158d748eb923314228e63af6e49fd9
SHA1..: 4cf0a9fbd6efb0afb3c818934bfe348d3b33c435
SHA256: 8a0162a6673169ad8dedba711a7c7e911ee50254803c6f41051eca02c82a515a
ssdeep: 6144:Io5SXp5F1BxF1p5Zgfc8k8LgfnkRkSILWzeRuTUQCjdd/G3Q8/0dO7aM:R5
S/KfVPqV6aRnjYn/wG3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1d8c
timedatestamp.....: 0x4afac12b (Wed Nov 11 13:50:35 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x46f98 0x47000 5.77 13c7b00d6d66db2521f25a9dadac0e75
.data 0x48000 0xd3c 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x49000 0x2968 0x3000 4.01 ba903576ea859168d32ce96204c1447f

( 1 imports )
> MSVBVM60.DLL: EVENT_SINK_GetIDsOfNames, __vbaVarTstGt, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaLineInputStr, __vbaFreeVarList, _adj_fdiv_m64, EVENT_SINK_Invoke, __vbaRaiseEvent, -, _adj_fprem1, -, -, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, Zombie_GetTypeInfo, __vbaVarXor, __vbaAryDestruct, EVENT_SINK2_Release, __vbaVarForInit, __vbaExitProc, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaFpR8, _CIsin, -, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaStrCmp, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, __vbaCastObjVar, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, Zombie_GetTypeInfoCount, __vbaRedim, __vbaStrR8, EVENT_SINK_Release, __vbaNew, _CIsqrt, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, __vbaInStrVar, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaNew2, __vbaInStr, -, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, EVENT_SINK2_AddRef, -, __vbaI4Str, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaI4Var, __vbaVarAdd, __vbaStrToAnsi, __vbaVarDup, -, __vbaFpI2, __vbaVarCopy, __vbaFpI4, -, _CIatan, __vbaStrMove, __vbaAryCopy, __vbaCastObj, -, _allmul, _CItan, __vbaVarForNext, _CIexp, __vbaFreeStr, __vbaFreeObj, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)
sigcheck:
publisher....: Koyote Soft - http://www.koyotesoft.com
copyright....: Koyote Soft 2009
product......: Tube Finder
description..: Free FLV Converter - Tube Finder
original name: TubeFinder.exe
internal name: TubeFinder
file version.: 1.00
comments.....: Works with FreeFlvConverter. TubeFinder is an Exe ActiveX. used by FreeFLV Converter.exe to find video tubes on internet.
signers......: -
signing date.: -
verified.....: Unsigned

und noch etwas...gestern ist mein pc 2 mal eingefroren...das ist seitdem ich hier von dir " behandelt" werde nicht einmal passiert davor ja regelmässig in unbestimmten abständen
kann es vllt sein dass durch diese etwas längere "pause" in der wir nichts gescannt haben wieder alles auf anfang gesprungen ist?

#40 aso ok. hast du die funde mit a-squared gelöscht? wie läuft der pc?

#41 ja ich hab die funde gelöscht, eben ist er wieder eingefroren, also keine veränderung

#42 formatieren:
http://board.protecus.de/t13020.htm
dann alle passwörter endern.

#43 gibt es keinen anderen weg?

ich hab ein zusätzliches problem seit gestern mittag spinnt mein sound rum er hört sich ständig so abgehackt an im anhang befindet sich ein von mir aufgenommenes bsp wie sich der sound von youtube und co anhört die maus zieht auch dann total nach als ob mein pc voll ausgelastet wäre dabei ist der cpu stand auf 2-10% aber das allermerkwürdigste is halt dass es urplötzlich gekommen ist gestern vormittag noch alles ok n ZACK boom ohne das ich was gemacht habe kam es

#44 Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Zitat

Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit

#45 hier ist mein avz log ich werde wahrscheinlich bei gelegenheit meinen pc neuaufsetzen aber ich benötige ihn noch so wie er ist ein wenig da ich momentan an etwas arbeite