Internet Explorer öffnet selbstständig Werbung

#1 Hab seit kurzem folgendes Problem...
Wie im Titel schon genannt öffnet sich mein IE selbsständig und bombadiert mich mit Werbung zu.
Hier mein Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:18:05, on 08.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Home\LOKALE~1\Temp\Af1.exe
C:\WINDOWS\Aworib.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\IDT\WDM\sttray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\Home\Eigene Dateien\Downloads\HiJackThis.exe

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Home\LOKALE~1\Temp\Af1.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe

--
End of file - 4451 bytes


bitte um Hilfe

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Zitat

C:\DOKUME~1\Home\LOKALE~1\Temp\Af1.exe
C:\WINDOWS\Aworib.exe

#3 kann man nich einfach den internet explorer löschen ??
oder sind die hijacker so gefährlich
is so Schei... man gar keine games mehr spielen weil die imma weggehen wenn diese werbung kommt ...... so ein Schei... ist das.
soll ich das auch machen was du gesagt hast??


danke schoma im voraus
doch bitte beeilt euch ich bin mit den nerven am ende

#4 ah noch was tut mir leid ist das ein gutes programm

http:XXX.www.stopzilla.com/products/stopzilla/home.do

#5 danke für die schnelle antwort
habe das OTL durchlaufen lassen

Code

OTL logfile created on: 09.04.2010 16:55:59 - Run 1
OTL by OldTimer - Version 3.2.1.1     Folder = C:\Dokumente und Einstellungen\Home\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,09 Gb Total Space | 266,88 Gb Free Space | 89,53% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: KUNI
Current User Name: Home
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Home\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\Aworib.exe ()
PRC - C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp\Af1.exe ()
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - c:\Programme\IDT\ECSXPV_5762_010208\WDM\stacsv.exe (IDT, Inc.)
PRC - C:\Programme\IDT\WDM\sttray.exe (IDT, Inc.)
PRC - C:\WINDOWS\PixArt\Pac207\Monitor.exe (PixArt Imaging Incorporation)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Home\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll ()
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (STacSV) -- c:\Programme\IDT\ECSXPV_5762_010208\WDM\stacsv.exe (IDT, Inc.)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AtcL001) -- C:\WINDOWS\system32\drivers\l151x86.sys (Atheros Communications, Inc.)
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (IDT, Inc.)
DRV - (amdide) -- C:\WINDOWS\system32\DRIVERS\amdide.sys (Advanced Micro Devices)
DRV - (PAC207) -- C:\WINDOWS\system32\drivers\PFC027.SYS (PixArt Imaging Inc.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "http://www.jappy.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2.0.0.1
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.1&q="
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.02 18:59:49 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.02 18:59:49 | 000,000,000 | ---D | M]
 
[2010.01.19 17:05:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Extensions
[2010.04.08 15:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Firefox\Profiles\c4mc5rnz.default\extensions
[2010.01.22 10:32:53 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Firefox\Profiles\c4mc5rnz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.03.15 12:28:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Firefox\Profiles\c4mc5rnz.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.04.02 19:00:00 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Firefox\Profiles\c4mc5rnz.default\searchplugins\icqplugin-1.xml
[2010.03.15 12:28:34 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Firefox\Profiles\c4mc5rnz.default\searchplugins\icqplugin.gif
[2010.03.15 12:28:34 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Firefox\Profiles\c4mc5rnz.default\searchplugins\icqplugin.src
[2010.03.29 20:04:07 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Mozilla\Firefox\Profiles\c4mc5rnz.default\searchplugins\icqplugin.xml
[2010.04.08 15:49:56 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.25 02:26:21 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.01.16 03:15:29 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.16 03:15:29 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.16 03:15:29 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.16 03:15:29 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.16 03:15:29 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [Monitor] C:\WINDOWS\PixArt\Pac207\Monitor.exe (PixArt Imaging Incorporation)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SysTrayApp] C:\Programme\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O4 - HKCU..\Run: [MessengerPlus3] C:\Programme\MessengerPlus! 3\MsgPlus.exe (Patchou)
O4 - HKCU..\Run: [YVIBBBHA8C] C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp\Af1.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.27 11:37:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{46674fdc-331d-11de-a0e5-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{46674fdc-331d-11de-a0e5-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{46674fdc-331d-11de-a0e5-806d6172696f}\Shell\AutoRun\command - "" = I:\setup.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.04.08 18:38:01 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.04.07 17:34:18 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2010.03.27 14:37:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.03.27 14:36:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\Avira
[2010.03.25 14:21:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\TS3Client
[2010.03.25 14:14:19 | 000,000,000 | ---D | C] -- C:\Programme\TeamSpeak 3 Client
[2010.03.25 02:26:13 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2010.03.24 22:03:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\DivX
[2010.03.21 20:41:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\teamspeak2
[2010.03.21 20:41:15 | 000,034,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\lhacm.acm
[2010.03.21 20:41:10 | 000,000,000 | ---D | C] -- C:\Programme\Teamspeak2_RC2
[2010.03.20 09:43:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
[2010.03.19 06:48:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
[2010.03.19 04:16:58 | 000,000,000 | ---D | C] -- C:\Programme\World of Warcraft
[2010.03.19 04:16:58 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[2010.03.19 04:10:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard
[2010.03.15 12:28:35 | 000,000,000 | ---D | C] -- C:\Programme\ICQ6Toolbar
[2010.03.15 12:28:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2010.03.15 12:27:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Anwendungsdaten\ICQ
[2010.03.15 12:27:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\AOL
[2010.03.15 12:27:40 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.0
[2010.03.12 16:50:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Identities
[2010.02.27 19:28:08 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2010.01.25 11:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.04.27 11:40:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.04.27 11:37:29 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2007.08.13 18:46:00 | 000,102,912 | ---- | C] (Albert L Faber) -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\CDRip.dll
[2007.01.18 22:09:54 | 000,623,616 | ---- | C] (Ivan Bischof ©2003 - 2005) -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\No23 Recorder.exe
[2006.12.11 20:13:14 | 000,013,872 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\basscd.dll
[2006.12.11 20:13:12 | 000,097,336 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\bass.dll
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.04.09 16:55:00 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.04.09 16:46:05 | 000,000,244 | -H-- | M] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.04.09 15:36:23 | 000,000,797 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\World of Warcraft.lnk
[2010.04.09 09:36:27 | 001,041,878 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.09 09:36:27 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.09 09:36:27 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.09 09:36:27 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.09 09:36:27 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.09 09:32:17 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.09 09:32:11 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.09 02:23:29 | 002,359,296 | -H-- | M] () -- C:\Dokumente und Einstellungen\Home\NTUSER.DAT
[2010.04.09 02:23:29 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Home\ntuser.ini
[2010.04.08 22:32:06 | 000,000,692 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Desktop\Verknüpfung mit HiJackThis.lnk
[2010.04.08 18:48:31 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.04.08 13:17:40 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.04.07 22:38:28 | 031,035,436 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Eigene Dateien\ts3_recording_10_04_07_22_35_44.wav
[2010.04.07 17:49:16 | 000,005,632 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.07 17:42:37 | 000,187,392 | ---- | M] () -- C:\WINDOWS\Aworib.exe
[2010.04.07 17:40:43 | 000,187,392 | ---- | M] () -- C:\WINDOWS\Aworia.exe
[2010.04.07 17:40:39 | 000,210,944 | ---- | M] () -- C:\WINDOWS\System32\sshnas21.dll
[2010.04.04 12:33:40 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.03.26 23:00:17 | 000,001,516 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml
[2010.03.25 14:14:22 | 000,000,809 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamSpeak 3 Client.lnk
[2010.03.25 13:37:46 | 001,168,694 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Eigene Dateien\sgh.wav
[2010.03.21 20:41:15 | 000,034,064 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\lhacm.acm
[2010.03.21 20:41:13 | 000,000,645 | ---- | M] () -- C:\Dokumente und Einstellungen\Home\Desktop\Teamspeak 2 RC2.lnk
[2010.03.13 19:26:31 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.04.08 22:32:06 | 000,000,692 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Desktop\Verknüpfung mit HiJackThis.lnk
[2010.04.08 09:42:22 | 000,187,392 | ---- | C] () -- C:\WINDOWS\Aworib.exe
[2010.04.07 22:35:47 | 031,035,436 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Eigene Dateien\ts3_recording_10_04_07_22_35_44.wav
[2010.04.07 17:40:47 | 000,187,392 | ---- | C] () -- C:\WINDOWS\Aworia.exe
[2010.04.07 17:40:46 | 000,000,278 | -H-- | C] () -- C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.04.07 17:40:44 | 000,000,244 | -H-- | C] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.04.07 17:40:39 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\sshnas21.dll
[2010.03.25 14:14:22 | 000,000,809 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamSpeak 3 Client.lnk
[2010.03.25 13:37:19 | 001,168,694 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Eigene Dateien\sgh.wav
[2010.03.24 22:03:25 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.03.21 20:41:13 | 000,000,645 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Desktop\Teamspeak 2 RC2.lnk
[2010.03.19 04:16:58 | 000,000,797 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\World of Warcraft.lnk
[2010.02.08 15:26:09 | 000,001,516 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml
[2010.01.24 17:19:30 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2010.01.23 15:49:50 | 000,000,518 | ---- | C] () -- C:\WINDOWS\System32\SP207.INI
[2010.01.19 15:44:55 | 002,359,296 | -H-- | C] () -- C:\Dokumente und Einstellungen\Home\NTUSER.DAT
[2010.01.19 15:44:55 | 000,040,960 | -H-- | C] () -- C:\Dokumente und Einstellungen\Home\ntuser.dat.LOG
[2010.01.19 15:44:55 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Home\ntuser.ini
[2010.01.19 15:44:49 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT
[2010.01.19 15:44:49 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT.LOG
[2009.04.27 12:00:24 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2007.08.13 18:46:00 | 000,155,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
[2006.10.26 02:06:48 | 000,064,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
[2006.10.26 02:06:48 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
[2006.10.26 02:06:46 | 000,143,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
[2006.10.26 02:06:36 | 000,015,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\ogg.dll
[2005.08.23 23:34:06 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
< End of report >

#6 @marce1995

Bitte eröffne einen eigenen Thread. Ansonten gibt es ein durcheinander
Und nein lass die Finger von diesem Programm.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

@Kuni

Poste noch die Auswertungen von Virustotal.

#7

Code

Datei Aworib.exe empfangen 2010.04.09 17:42:39 (UTC)
Antivirus    Version    letzte aktualisierung    Ergebnis
a-squared    4.5.0.50    2010.04.09    -
AhnLab-V3    5.0.0.2    2010.04.09    Win-Trojan/Agent.187392.AY
AntiVir    7.10.6.55    2010.04.09    -
Antiy-AVL    2.0.3.7    2010.04.09    -
Authentium    5.2.0.5    2010.04.09    W32/FakeAlert.FT.gen!Eldorado
Avast    4.8.1351.0    2010.04.09    Win32:Trojan-gen
Avast5    5.0.332.0    2010.04.09    Win32:Trojan-gen
AVG    9.0.0.787    2010.04.09    Downloader.Agent2.VGH
BitDefender    7.2    2010.04.09    -
CAT-QuickHeal    10.00    2010.04.09    -
ClamAV    0.96.0.3-git    2010.04.09    -
Comodo    4549    2010.04.09    -
DrWeb    5.0.2.03300    2010.04.09    -
eSafe    7.0.17.0    2010.04.08    -
eTrust-Vet    35.2.7418    2010.04.09    -
F-Prot    4.5.1.85    2010.04.09    W32/FakeAlert.FT.gen!Eldorado
F-Secure    9.0.15370.0    2010.04.09    -
Fortinet    4.0.14.0    2010.04.08    -
GData    19    2010.04.09    Win32:Trojan-gen
Ikarus    T3.1.1.80.0    2010.04.09    -
Jiangmin    13.0.900    2010.04.09    -
Kaspersky    7.0.0.125    2010.04.09    -
McAfee-GW-Edition    6.8.5    2010.04.09    -
Microsoft    1.5605    2010.04.09    TrojanDownloader:Win32/Renos.KF
NOD32    5014    2010.04.09    Win32/TrojanDownloader.FakeAlert.AWJ
Norman    6.04.11    2010.04.09    -
nProtect    2009.1.8.0    2010.04.06    -
Panda    10.0.2.2    2010.04.09    -
PCTools    7.0.3.5    2010.04.09    -
Prevx    3.0    2010.04.09    High Risk Cloaked Malware
Rising    22.42.04.03    2010.04.09    Trojan.Win32.Generic.51FDE630
Sophos    4.52.0    2010.04.09    Mal/FakeAV-CX
Sunbelt    6155    2010.04.09    Trojan.Win32.Generic!BT
Symantec    20091.2.0.41    2010.04.09    -
TheHacker    6.5.2.0.258    2010.04.09    Trojan/Downloader.FakeAlert.awj
TrendMicro    9.120.0.1004    2010.04.09    TROJ_RENOS.SMD
VBA32    3.12.12.4    2010.04.09    -
ViRobot    2010.4.9.2269    2010.04.09    -
VirusBuster    5.0.27.0    2010.04.09    Trojan.Codecpack.Gen.4
weitere Informationen
File size: 187392 bytes
MD5...: 851103f736bc78600c7d476b5ca897d7
SHA1..: 87ce803666f2ac24c22a2fef5092c35fabb18eed
SHA256: 511cf21fb49e02c43bc5dc5eeae01b82d9386e47701655a672fe339a91ec097e
ssdeep: 3072:Y5qW1GGZoFTxSkmMXqU2sLYNzG9Goh/wvLJlseAYNVgUwX:SGhFjv2e8i9B<br>h/UJ1NSUwX<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2455<br>timedatestamp.....: 0x4a77b648 (Tue Aug 04 04:17:12 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.CODE 0x1000 0xca5f 0xcc00 5.68 a424ea621a604a8d29cb28bd715e4f17<br>.edata 0xe000 0x1dde5 0x1de00 7.41 21e7d8a2c1b54cd08529112a9c45ba23<br>.rdata 0x2c000 0x23c0 0x2400 5.38 087a8b6c0132cb4b4e0a75406d7116ef<br>.data 0x2f000 0xe40a 0x600 0.00 53e979547d8c2ea86560ac45de08ae25<br>.init 0x3e000 0x11b 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<br><br>( 8 imports ) <br>&gt; advapi32.dll: RegQueryValueExA, RegCreateKeyExA<br>&gt; MSVCRT.DLL: memmove, strcmp, time, calloc, _acmdln, sqrt, strncmp, pow, wcstol, memset, wcschr, atol, memcpy, clock, rand, strlen, sprintf<br>&gt; kernel32.dll: FormatMessageA, HeapFree, lstrcmpiA, lstrcatA, LoadLibraryExA, DeleteCriticalSection, WideCharToMultiByte, GetSystemDefaultLangID, GetModuleFileNameA, SetHandleCount, HeapDestroy, MoveFileExA, HeapAlloc, GetCurrentThreadId, DeleteFileA, LocalReAlloc, GlobalAlloc, FreeResource, GlobalAddAtomA, CloseHandle, SizeofResource, GetCommandLineA, LoadLibraryA, MoveFileA, VirtualFree, GlobalDeleteAtom, GetProcAddress, WriteFile, GetUserDefaultLCID, CreateFileA, GetDateFormatA, GetCPInfo, GetModuleHandleA, GetLocaleInfoA, VirtualAlloc, GlobalFindAtomA, ResetEvent, RaiseException, GetVersionExA, GetTickCount, SetLastError, VirtualQuery, GetACP, GetLocalTime, SetErrorMode, FindFirstFileA, CreateThread, SetEndOfFile, GetFileSize, GetFullPathNameA, InitializeCriticalSection, Sleep, ExitProcess, GetCurrentProcess, FindClose, EnumCalendarInfoA, VirtualAllocEx, MulDiv, SetFilePointer, GetOEMCP, lstrcpyA, GetStdHandle, LocalAlloc, LoadResource, GetStringTypeW, GetEnvironmentStrings, SetThreadLocale, CreateEventA, GetLastError, ExitThread, WaitForSingleObject, CompareStringA, SetEvent, ReadFile, lstrcmpA<br>&gt; user32.dll: GetDlgItem, EnumChildWindows, CheckMenuItem, GetSysColor, GetSysColorBrush, EnableScrollBar, SetWindowPos, GetForegroundWindow, CallNextHookEx, DrawEdge, GetParent, CallWindowProcA, BeginPaint, GetClipboardData, SetWindowTextA, GetDesktopWindow, CreateWindowExA, GetMenuItemID, IsWindowVisible, MessageBoxA, SetTimer, DrawTextA, TrackPopupMenu, SetWindowLongA, FrameRect, GetMenu, CreatePopupMenu, GetMenuItemCount, GetSubMenu, DefFrameProcA, SystemParametersInfoA, GetMenuItemInfoA, EnumThreadWindows, FindWindowA, CharLowerBuffA, EqualRect, EnumWindows, ClientToScreen, DefMDIChildProcA, ShowWindow, DefWindowProcA, HideCaret, GetMenuState, GetCursor, CharToOemA, DrawMenuBar, EnableMenuItem, IsDialogMessageA, GetScrollRange, SetCursor, GetMessagePos, CreateIcon, BeginDeferWindowPos, GetScrollPos, GetCursorPos, GetIconInfo, GetPropA, RegisterClassA, GetKeyState, CharLowerA, EndDeferWindowPos, ShowScrollBar, GetClassLongA, EndPaint, GetKeyNameTextA, GetClassInfoA, DispatchMessageW, DrawIconEx, EnableWindow, GetActiveWindow, IsMenu, GetFocus, GetCapture, GetDC, GetMenuStringA, GetWindow, DrawIcon, IsChild, GetScrollInfo, GetClientRect, GetLastActivePopup, IsWindowEnabled, CreateMenu, FillRect, CharNextA<br>&gt; COMCTL32.DLL: ImageList_Draw, ImageList_DragShowNolock<br>&gt; version.dll: GetFileVersionInfoA, VerInstallFileA, GetFileVersionInfoSizeA<br>&gt; GDI32.DLL: GetClipBox, RestoreDC, SetPixel, SaveDC<br>&gt; NTDLL.DLL: atol, wcscat, RtlDeleteCriticalSection, _wcsnicmp, NtWaitForSingleObject<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
trid..: Win32 Executable MS Visual C++ (generic) (51.6%)<br>Windows Screen Saver (17.9%)<br>Win32 Executable Generic (11.6%)<br>Win32 Dynamic Link Library (generic) (10.3%)<br>Clipper DOS Executable (2.7%)
Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
&lt;a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F9018E840092BAADDC6D02088CE58900BF68CE0F' target='_blank'&gt;http://info.prevx.com/aboutprogramtext.asp?PX5=F9018E840092BAADDC6D02088CE58900BF68CE0F&lt;/a&gt;

Code

Datei AF1.EXE-04E4E817.pf empfangen 2010.04.09 17:49:28 (UTC)
Antivirus    Version    letzte aktualisierung    Ergebnis
a-squared    4.5.0.50    2010.04.09    -
AhnLab-V3    5.0.0.2    2010.04.09    -
AntiVir    7.10.6.55    2010.04.09    -
Antiy-AVL    2.0.3.7    2010.04.09    -
Authentium    5.2.0.5    2010.04.09    -
Avast    4.8.1351.0    2010.04.09    -
Avast5    5.0.332.0    2010.04.09    -
AVG    9.0.0.787    2010.04.09    -
BitDefender    7.2    2010.04.09    -
CAT-QuickHeal    10.00    2010.04.09    -
ClamAV    0.96.0.3-git    2010.04.09    -
Comodo    4549    2010.04.09    -
DrWeb    5.0.2.03300    2010.04.09    -
eSafe    7.0.17.0    2010.04.08    -
eTrust-Vet    35.2.7418    2010.04.09    -
F-Prot    4.5.1.85    2010.04.09    -
F-Secure    9.0.15370.0    2010.04.09    -
Fortinet    4.0.14.0    2010.04.08    -
GData    19    2010.04.09    -
Ikarus    T3.1.1.80.0    2010.04.09    -
Jiangmin    13.0.900    2010.04.09    -
Kaspersky    7.0.0.125    2010.04.09    -
McAfee-GW-Edition    6.8.5    2010.04.09    -
Microsoft    1.5605    2010.04.09    -
NOD32    5014    2010.04.09    -
Norman    6.04.11    2010.04.09    -
nProtect    2009.1.8.0    2010.04.06    -
Panda    10.0.2.2    2010.04.09    -
PCTools    7.0.3.5    2010.04.09    -
Prevx    3.0    2010.04.09    -
Rising    22.42.04.03    2010.04.09    -
Sophos    4.52.0    2010.04.09    -
Sunbelt    6155    2010.04.09    -
Symantec    20091.2.0.41    2010.04.09    -
TheHacker    6.5.2.0.258    2010.04.09    -
TrendMicro    9.120.0.1004    2010.04.09    -
VBA32    3.12.12.4    2010.04.09    -
ViRobot    2010.4.9.2269    2010.04.09    -
VirusBuster    5.0.27.0    2010.04.09    -
weitere Informationen
File size: 18736 bytes
MD5...: c7b77d0ee3f2107fa27aa54d9f738a07
SHA1..: 3bfd4016fcf7a3995facf48829ca776f7d4f994b
SHA256: c24241c21e1070e96bd71aa2187f305640e4721c81d9fac7588fc9d41264e8fc
ssdeep: 384:q5++YYMPVcUJLBWJA80rt4loJ+949NL6ttXI1d:qPYYM9cUJLBq0hMoJ+e9N<br>L6tad<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Microsoft Windows XP Prefetch file (98.9%)<br>LTAC compressed audio (v1.71) (1.0%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

Antivirus;Version;letzte aktualisierung;Ergebnis

weitere Informationen
File size: 18736 bytes
MD5...: c7b77d0ee3f2107fa27aa54d9f738a07
SHA1..: 3bfd4016fcf7a3995facf48829ca776f7d4f994b
SHA256: c24241c21e1070e96bd71aa2187f305640e4721c81d9fac7588fc9d41264e8fc
ssdeep: 384:q5++YYMPVcUJLBWJA80rt4loJ+949NL6ttXI1d:qPYYM9cUJLBq0hMoJ+e9N<br>L6tad<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Microsoft Windows XP Prefetch file (98.9%)<br>LTAC compressed audio (v1.71) (1.0%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

ich hoffe, dass war jetzt richtig so?

#8 so habe gesehen die AF1.EXE-04E4E817.pf ist ja die falsche habe gesucht und die hier noch gefunden

Code

Datei Af1.exe empfangen 2010.04.10 02:43:43 (UTC)
Antivirus    Version    letzte aktualisierung    Ergebnis
a-squared    4.5.0.50    2010.04.09    Trojan.Win32.FakeAV!IK
AhnLab-V3    5.0.0.2    2010.04.09    Win-Trojan/Agent.180224.JL
AntiVir    7.10.6.55    2010.04.09    -
Antiy-AVL    2.0.3.7    2010.04.09    -
Authentium    5.2.0.5    2010.04.09    W32/FakeAlert.FT.gen!Eldorado
Avast    4.8.1351.0    2010.04.09    Win32:Trojan-gen
Avast5    5.0.332.0    2010.04.09    Win32:Trojan-gen
AVG    9.0.0.787    2010.04.09    Downloader.Agent2.VGI
BitDefender    7.2    2010.04.10    -
CAT-QuickHeal    10.00    2010.04.09    -
ClamAV    0.96.0.3-git    2010.04.10    -
Comodo    4550    2010.04.09    -
DrWeb    5.0.2.03300    2010.04.10    -
eSafe    7.0.17.0    2010.04.08    -
eTrust-Vet    35.2.7418    2010.04.09    -
F-Prot    4.5.1.85    2010.04.09    W32/FakeAlert.FT.gen!Eldorado
F-Secure    9.0.15370.0    2010.04.09    Trojan-Downloader:W32/Renos.gen!C
Fortinet    4.0.14.0    2010.04.08    -
GData    19    2010.04.10    Win32:Trojan-gen
Ikarus    T3.1.1.80.0    2010.04.09    Trojan.Win32.FakeAV
Jiangmin    13.0.900    2010.04.09    -
Kaspersky    7.0.0.125    2010.04.10    -
McAfee-GW-Edition    6.8.5    2010.04.09    -
Microsoft    1.5605    2010.04.09    TrojanDownloader:Win32/Renos.KF
NOD32    5014    2010.04.09    Win32/TrojanDownloader.FakeAlert.AWK
Norman    6.04.11    2010.04.09    -
nProtect    2009.1.8.0    2010.04.06    -
Panda    10.0.2.2    2010.04.09    Suspicious file
PCTools    7.0.3.5    2010.04.10    -
Prevx    3.0    2010.04.10    High Risk Cloaked Malware
Rising    22.42.04.03    2010.04.09    Trojan.Win32.Generic.51FDE774
Sophos    4.52.0    2010.04.10    Mal/FakeAV-CX
Sunbelt    6159    2010.04.10    Trojan.Win32.Generic!BT
Symantec    20091.2.0.41    2010.04.10    -
TheHacker    6.5.2.0.258    2010.04.09    Trojan/Downloader.FakeAlert.awk
TrendMicro    9.120.0.1004    2010.04.09    TROJ_RENOS.SMDE
VBA32    3.12.12.4    2010.04.09    -
ViRobot    2010.4.9.2269    2010.04.09    -
VirusBuster    5.0.27.0    2010.04.09    Trojan.DL.FakeAlert.CGT
weitere Informationen
File size: 180224 bytes
MD5...: 1c4aec40b670261766555badfbf859ca
SHA1..: 6a0aefccc172fa0f4a0a5a566ab93c8849afcbd7
SHA256: 205648a3ff3d88f0b46f69b9b15ec6d009d484b94c94a436ac8223a96d4a4e6f
ssdeep: 3072:GrzfEMTrF33bDH6YW6eDNFkC7QUG1HUR4ENNOL8/2SBmINIzXeuXcr/SJ:q<br>pHF3LuahC6e4ENNOjSUnSMcr6<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x6423<br>timedatestamp.....: 0x4a86d478 (Sat Aug 15 15:30:00 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0xd1ed 0xd200 5.76 b88377541366bbeaf8d24c960510ad6c<br>.bss 0xf000 0x24ea6 0x1c000 7.44 220909ea29a4082d5440e8cef6a6e1a8<br>.rdata 0x34000 0x28dc 0x2a00 5.06 2308e2d11766ef0957d02ade28fb28a1<br><br>( 9 imports ) <br>&gt; MSVCRT.DLL: exit, calloc, pow, wcstol, _acmdln, memcpy, swprintf, strcmp, strncmp, memset, mbstowcs, memmove, wcscspn, sqrt, wcsncmp<br>&gt; USER32.DLL: CallNextHookEx, SetWindowLongA, BeginPaint, EnableWindow, GetClassInfoA, DefFrameProcA, GetMenuItemInfoA, HideCaret, GetMenuItemID, EnableScrollBar, IsWindowEnabled, GetCapture, GetActiveWindow, IsMenu, FillRect, TrackPopupMenu, SetWindowPos, GetPropA, IsChild, GetClassLongA, ClientToScreen, EndDeferWindowPos, GetDC, CharLowerBuffA, DefWindowProcA, GetMenuStringA, GetLastActivePopup, DrawIcon, DefMDIChildProcA, CreateMenu, DrawMenuBar, GetClientRect, GetForegroundWindow, SystemParametersInfoA, GetIconInfo, DispatchMessageA, DrawTextA, GetScrollPos, GetSysColorBrush, GetCursorPos, DrawEdge, GetMenuItemCount, IsDialogMessageA, EnumChildWindows, CreatePopupMenu, EnumWindows, GetMenu, BeginDeferWindowPos, GetDlgItem, ShowScrollBar, MessageBoxA, GetScrollRange, SetCursor, CreateWindowExA, CharNextA, IsWindowVisible, GetKeyNameTextA, GetWindowTextA, RegisterClassA, SetTimer, DeferWindowPos, EqualRect, GetSubMenu, GetMessagePos, FrameRect, ShowWindow, GetClipboardData, CallWindowProcA, EnumThreadWindows, GetKeyState, DrawFrameControl, CheckMenuItem, EndPaint, FindWindowA, GetDCEx, SetWindowTextA, EnableMenuItem, GetWindow, DrawIconEx, CreateIcon, DispatchMessageW, GetCursor, GetMenuState, GetScrollInfo, GetParent, CharLowerA, GetFocus<br>&gt; NTDLL.DLL: atol, RtlDeleteCriticalSection, NtWaitForSingleObject<br>&gt; version.dll: GetFileVersionInfoA<br>&gt; SHLWAPI.DLL: PathIsDirectoryA, PathFileExistsA, SHEnumValueA, SHDeleteValueA, SHQueryValueExA, PathIsContentTypeA<br>&gt; COMCTL32.DLL: ImageList_Draw, ImageList_DrawEx, ImageList_Create, ImageList_Write, ImageList_Read, ImageList_DragShowNolock, ImageList_Destroy, ImageList_Remove<br>&gt; SHELL32.DLL: SHFileOperationA, SHGetDiskFreeSpaceA<br>&gt; comdlg32.dll: GetSaveFileNameA, FindTextA, ChooseColorA, GetOpenFileNameA<br>&gt; kernel32.dll: LoadLibraryA, ReadFile, EnterCriticalSection, GetUserDefaultLCID, GetThreadLocale, DeleteCriticalSection, FindResourceA, GetTickCount, FormatMessageA, SetErrorMode, WaitForSingleObject, GlobalAddAtomA, GetFullPathNameA, RaiseException, Sleep, GetVersion, GetFileSize, GetCurrentProcessId, GetStdHandle, GetProcessHeap, MoveFileExA, SetLastError, CompareStringA, SetThreadLocale, GlobalDeleteAtom, SetEndOfFile, DeleteFileA, HeapAlloc, lstrlenA, GetStringTypeW, GlobalFindAtomA, LoadResource, ExitThread, lstrcmpiA, VirtualQuery, CreateFileA, FreeLibrary, HeapFree, GetFileAttributesA, lstrcpyA, GlobalAlloc, SetFilePointer, lstrcpynA, FreeResource, GetModuleHandleA, GetCurrentThread, GetCommandLineA, WideCharToMultiByte, GetLocaleInfoA, CreateThread, LocalFree, ExitProcess, LocalReAlloc, GetACP, GetSystemDefaultLangID, InitializeCriticalSection, HeapDestroy, CloseHandle, GetModuleFileNameA, SetEvent, lstrcatA, GetDiskFreeSpaceA, VirtualAllocEx, ResetEvent, MulDiv, GetVersionExA, lstrcmpA, CreateEventA, GetEnvironmentStrings, GetFileType<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (51.6%)<br>Windows Screen Saver (17.9%)<br>Win32 Executable Generic (11.6%)<br>Win32 Dynamic Link Library (generic) (10.3%)<br>Clipper DOS Executable (2.7%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
&lt;a href='http://info.prevx.com/aboutprogramtext.asp?PX5=04CEE61100CACD01C0970299547B7D0049F7F290' target='_blank'&gt;http://info.prevx.com/aboutprogramtext.asp?PX5=04CEE61100CACD01C0970299547B7D0049F7F290&lt;/a&gt;

mein antivirus hat
in der afz.exe und in der af2.exe auch viren gefunden hilft das iwie noch weiter?

#9 Vielen Dank! NUtze bitte einmal a2 free um einen Kontrollscan zu machen.
http://www.emsisoft.de/de/software/free/

loesche bitte keine Funde, sondern poste vorher den erstellten Bericht...
__________
MfG Ralf
SEO-Spam Hunter

#10

Code

'C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp\Afz.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Renos.AB.2' [trojan].

Code

'C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp\Af2.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Renos.AB.2' [trojan].

das hier sind die funde^^

#11 Dann bitte loeschen, falls nicht geschehen.

Danach kann ein Combofix Lauf nicht schaden.
http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#12 nur die afz.exe und af2.exe löschen? oder auch die aworib.exe?

#13 Ja, die muss natuierlich auch weg...
__________
MfG Ralf
SEO-Spam Hunter

#14 kannst mir sagen wie ich die entferne?
mein antivir zeigt mir auf der keinen virus an und löschen kann ich sie auch nicht

#15 mach mal mit combofix weiter, denke das sollte klappen. wenn nicht löschen wirs mit combofix script