Registryveränderungen werden nicht dauerhaft beseitigt

H

handyandy

New member
Hallo zusammen

Zunächst mal mein system in kurzform ;-) :

PC Intel CPU
WinXP Home SP2
S&D 1.6.2.64

Nu das Problem :

Habe malware die unter anderem dazu führte daß S&D und Malwarebytes
nicht mahr starteten und die in die registry eingegriffen hat - showhidden und howsuperhidden optionen - ausserdem kann ich z.b. übers google listing nicht mehr auf die safer-networkingseite zugreifen : (404 not found).
S&D hab ich jetzt wieder zum laufen gekriegt, erkennt die registry-
veränderungen, beseitigt sie auch aber nach dem nächste systemstart ist alles wie vorher.
Malwarebytes läuft nicht.
Das problem mit den hidden/superhidden-optionen ist beseitigt.
Das ergebnis der überprüfung hier :

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.disableSystemRestore: [SBI $1645D19C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

Nach dem fix :

--- Report generated: 2010-01-20 01:16 ---

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.disableSystemRestore: [SBI $1645D19C] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

Aber nach dem nächsten systemstart : alles wieder von vorn
Tja ich wär happy wenn mir jemand weiterhelfen könnte !

greetz
handyandy
 
Last edited:
deaktivier mal die Systemwiderherstellung (über Startbutton --> Programme --> Zubehör --> Systemprogramme--> Systemwiderherstellung) und probier das ganze dann nochmal.
Bei einer "Infektion" kann die ab und zu recht hinderlich sein.

gruß chris
 
Last edited:
Lasse die Systemwiederherstellung ersteinmal aktiviert, sofern die Malware die nicht schon deaktiviert haben sollte.

Wenn du Mbam schn auf deinem REchner installiert haben solltest, benenne bitte die Mbam.exe umzubenennen, dann starte neu und schau, ob du die umbenannte Datei starten kannst. Falls ja, aktualisiere Mbam und mache einen quickscan.

Poste bitte einen Gmer Report

Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen...

Um Gmer unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die heruntergeladenen Exedatei und "Als Administrator ausfuehren" waehlen.
 
Hier die gewünschten Scans :

Hallo Zusammen

Vielen dank für die schnelle reaktion !

1.)
Systemwiederherstellung war schon deaktiviert ( von malware )
ich hab's so gelassen

2.
Malwarebytes hatte ich gestern morgen noch deinstalliert also :
- sicherheitshalber S&D laufen lassen und registryänderungen beseitigt
- MWB installiert
- läuft nicht
- mbam.exe umbenannt
- läuft !

Quickscan ergebnisse :

Code: 
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3601
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

20.01.2010 10:34:09
MWB LOG 100120 1031.txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118279
Laufzeit: 4 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xjikgztd (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\1234\ppbxg.exe \s) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\xjikgztd.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.

Getan hab ich noch nichts !

3.)
Der link zu gmer wurde zu google umgeleitet.
Eingabe der URL in adressleiste : dito.
Geklappt hats über die CHIP online seite.

Ergebnis :

Code: 
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2010-01-21 00:48:54
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            893D4530                                                                                                             ZwConnectPort

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\drivers\xjikgztd.sys                                                                             section is writeable [0xBA979000, 0x2F40, 0xEC000040]
.reloc          C:\WINDOWS\system32\drivers\xjikgztd.sys                                                                             section is executable [0xBA97FE60, 0x1E60, 0xEE000040]
?               C:\WINDOWS\system32\drivers\xjikgztd.sys                                                                             Zugriff verweigert
.text           C:\WINDOWS\system32\DRIVERS\ndisvvan.sys                                                                             section is writeable [0xBAAA9000, 0x2600, 0xEC000040]
.reloc          C:\WINDOWS\system32\DRIVERS\ndisvvan.sys                                                                             section is executable [0xBAAB3200, 0x1D00, 0xEE000040]
?               C:\WINDOWS\system32\DRIVERS\ndisvvan.sys                                                                             Zugriff verweigert

---- User code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\svchost.exe[1056]                                                                                image checksum mismatch; time/date stamp mismatch; unknown module: dbghelp.dll

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              244C8D51
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     1BC82B04
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              23D0F7C0
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    25C48BC8
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    FFFFF000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  0A72C83B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           9459C18B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              0489008B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               002DC324
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              85000010
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   0FE9EB00
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   082444B7
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 74FF5056
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   F6330C24
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           09BBE846
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrlenW]                      C68B0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalFree]                     8B55C35E
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             18EC83EC
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThread]              DB335753
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcAddress]                91120C68
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                F05D8909
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LCMapStringW]                  45890991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!FreeLibrary]                   7415FFEC
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcpyW]                      8B099110
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     89FB3BF8
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     0775F47D
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExitProcess]                   EAE9C033
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCommandLineW]               56000000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     1070358B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcessHeap]                EC680991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetErrorMode]                  57099111
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   E068D6FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   57099111
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    FFF84589
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  11CC68D6
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       75FF0991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetTickCount]                  FFF88BF4
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            F85D39D6
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           00AF840F
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       FB3B0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!TerminateProcess]              00A7840F
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      C33B0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalAlloc]                    009F840F
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpW]                      4D8D0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          75FF51F0
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            91106C15
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlFreeHeap]                      89C33B09
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey]                        840FEC45
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscat]                           0000008E
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscpy]                           000288BE
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  50535600
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          106815FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             F88B0991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitializeSid]                 7A74FB3B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             50FC458D
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               FC758957
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose]                          83F855FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          10756FF8
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     57FC75FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           EC75FF53
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetAce]                        106415FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 F88B0991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcslen]                           3B46F633
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      8D3874FB
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCopySid]                       5750FC45
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         8B2C75C0
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         9C888BC7
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       3B000001
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           0874F04D
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerListen]                 C33B008B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          0CEBEF75
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             01A0B883
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             74060000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      E8758903

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               xjikgztd.sys

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                               SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

Device          \FileSystem\Mup \Dfs                                                                                                 xjikgztd.sys
Device          \FileSystem\NetBIOS \Device\Netbios                                                                                  xjikgztd.sys

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                             SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \FileSystem\RAW \Device\RawTape                                                                                      xjikgztd.sys
Device          \FileSystem\MRxDAV \Device\WebDavRedirector                                                                          xjikgztd.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \FileSystem\Rdbss \Device\FsWrap                                                                                     xjikgztd.sys
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                                         sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000a8                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\InCDfs \Device\InCDfsComm                                                                                xjikgztd.sys
Device          \FileSystem\Srv \Device\LanmanServer                                                                                 xjikgztd.sys

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\USBSTOR \Device\000000aa                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\RAW \Device\RawDisk                                                                                      xjikgztd.sys
Device          \Driver\USBSTOR \Device\000000ab                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000ac                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    xjikgztd.sys
Device          \Driver\USBSTOR \Device\000000ad                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          xjikgztd.sys
Device          \FileSystem\Npfs \Device\NamedPipe                                                                                   xjikgztd.sys
Device          \FileSystem\Msfs \Device\Mailslot                                                                                    xjikgztd.sys
Device          \FileSystem\RAW \Device\RawCdRom                                                                                     xjikgztd.sys
Device          \FileSystem\Mup \Device\WinDfs\Root                                                                                  xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                                   xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                                    xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                        xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                                     xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                                    xjikgztd.sys
Device          \FileSystem\InCDfs \GLOBAL??\BsUDF                                                                                   xjikgztd.sys
Device          \FileSystem\Cdfs \Cdfs                                                                                               xjikgztd.sys

---- Processes - GMER 1.0.15 ----

Process         C:\WINDOWS\system32\wmihtsp.exe (*** hidden *** )                                                                    684                                                                               

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\config\software.LOG                                                                              (size mismatch) 1024/12288 bytes

---- EOF - GMER 1.0.15 ----

Rot markiert wurde folgender eintrag :
Process C:\WINDOWS\system32\wmihtsp.exe (*** hidden *** )

So, ich hoffe das ist für euch (und mich) hilfreich.

Vielen dank für eure mühe

handandy
 
Mache erneut ein update von Mbam und lasse dann alle Funde bereinigen. Poste den erstellten Report und mache einen Neustart, versuche dir eine neue Gmer Datei ueber meinen Link herunterzuladen und mache damit auch einen Report
 
Hartnäckiger Virus

Hallo Freunde der Virusjagd

Ich scheine wohl ein ziemlich hartnäckiges exemplar erwischt zu haben.

@Ralf

Also wie gewünscht :

1.) mwb vollscan nach update :
Code: 
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 11:47:30
mbam-log-2010-01-21 (11-47-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 256013
Laufzeit: 1 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\1234\ppbxg.exe \s) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
15 probleme -> beseitigt.

2.) neuer mwb quickscan :
Code: 
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 12:03:27
mbam-log-2010-01-21 (12-03-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118249
Laufzeit: 5 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xjikgztd (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\xjikgztd.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
13 probleme -> beseitigt

3.) neuer mwb quickscan :
Code: 
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 12:21:56
mbam-log-2010-01-21 (12-21-45).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118218
Laufzeit: 4 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
1 problem -> beseitigt


4.) neuer mwb quickscan :
Code: 
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 12:26:09
mbam-log-2010-01-21 (12-26-07).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118148
Laufzeit: 2 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
1 problem -> beseitigt

5.) neuer S&D scan :
Code: 
--- Search result list ---
Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.disableSystemRestore: [SBI $1645D19C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
4 probleme -> beseitigt

6.) neuer mwb quickscan :
0 probleme ( kein bericht )

7.) neuer mwb vollscan :
0 probleme ( kein bericht )

Das problem ist aber leider noch vorhanden.
Über deinen link konnte ich nachwie vor nicht auf GMER zugreifen
Habe mir die version 1.0.15.15281 von CHIP besorgt

8.) gmer scan :
Code: 
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-21 20:56:08
Windows 5.1.2600 Service Pack 2
Running: kdqmv7y2.exe; Driver: C:\DOKUME~1\1234\LOKALE~1\Temp\kwliraoc.sys


---- System - GMER 1.0.15 ----

SSDT            89403260                                      ZwConnectPort

---- Kernel code sections - GMER 1.0.15 ----

?               uehg.sys                                      Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\1234\LOKALE~1\Temp\aunasnkj.sys   Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                        SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                     SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000a7              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000a9              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice  \Driver\Tcpip \Device\Udp                     SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\USBSTOR \Device\000000aa              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000ab              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000ac              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

---- EOF - GMER 1.0.15 ----

Tja was tun sprach zeus, noch 'n guten tip ?
Jedenfalls schon mal vielen dank für deine/eure geduld

Gruss
handyandy
 
Erstelle bitte der Uebersichthalber ein dds Report

http://download.bleepingcomputer.com/sUBs/dds.scr
auf den desktop herunterladen und ausführen.

es öffnen sich zwei logs, dds.txt und attach.txt, das kann etwas Zeit in anspruch nehmen

im dds.txt-fenster drückst du strg+a, strg+c und fügst den bericht mittels strg+v in diesen thread ein.
 
Auch dieser Link blockiert

Hallo Ralf

Auch dieser link und die direkte eingabe adressleiste nicht möglich.
Lande immer bei ( angeblich ) google not found
Ich versuchs mit umwegen.

Gruss
handandy
 
Last edited:
Ich warte nochmal auf deine Rueckmeldung, aber du koenntest schon mal anfangen deine wichtigsten Daten zu sichern, da ich ansonsten schwereres Geschuetz auffahren moechte, sollte das nicht funktionieren.

BTW: Hast du nicht die Moeglichkeit dir die Programme von einem anderen Rechner aus zu holen?
 
Re : Anderer PC / Datensicherung

Hallo Ralf

Ich hab mir jetzt einen zusätzliche PC besorgt, kriege aber mit deinem link
z. zt. immer einen timeout fehler.
Evtl. pagedown oder sie geht in die knie wegen der grossen nachfrage ;-)
Ich versuchs später nochmal.

Meine daten werden regelmäßig gesichert.
JETZT wollte ich daß eigentlich nicht machen aus angst eine infizierte datei auf meine ( hoffentlich noch saubere weil ausser bei backup
ausgestöpselte ) externe HD zu kriegen - letzter backup war vor beginn des ärgers.
Kann natütlich auch eine DVD brennen aber da wären die dateien doch auch
- evtl. - infiziert ?

Noch eine information :
War letztes WE ( mit meinem hauserechner ) mit dem IE 6 unterwegs
um die ansicht einer website im IE 6 zu testen.
Gestern war ich mit dem bürorechner auch online - auch IE 6 - und habe prompt dort den gleichen ärger.
USB sticks zur datenübertragung zwischen hause und büro habe ich nach auftreten der symptome nicht mehr benutzt, aber eine website - hochgeladen vom hauserechner vor ca. 5 wochen und seitdem nicht mehr auf den server zugegriffen - auf den bürorechner heruntergeladen.
Laut auskunft der host-hotline sind die dateien auf dem server virenfrei.
Also die berühmte IE sicherheitslücke ?
Na ja, wie immer die dinger auch auf die PC's gelangt sind ich muss sie wieder wegkriegen.
Ich bleibe dran mit bleeping und hoffe weiter auf unterstützung

Gruss
Andy
 
Nachtrag zu # 10

Hallo Ralf

Vergiss den absatz datensicherung oben.
Habe mich bei chip ( hoffentlich ) schlau gemacht zum thema datenrettung mit ubuntu.
Werde ich aber erst starten wenn nix anderes mehr geht.

bleepingcomputers immer noch down.

Gruss
Andy
 
DDS logs :

Jau der link hat geklappt, dankeschön
und bitteschön :

DDS :

DDS (Ver_09-12-01.01) - NTFSx86
Run by 1234 at 14:58:23,06 on 22.01.2010
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_13
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.2559.2106 [GMT 1:00]

AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Programme\firefox\firefox.exe
C:\Dokumente und Einstellungen\1234\Desktop\dds.exe

============== Pseudo HJT Report ===============

uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.de/
uWindow Title =
mDefault_Page_URL = file://c:\apps\ie\offline\ger.htm
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\adobe\acrobat 7.0\activex\AcroIEHelper.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.5.4723.1820\swg.dll
TB: Norton Internet Security: {0b53eac3-8d69-4b9e-9b19-a37c9a5676a7} - c:\programme\gemeinsame dateien\symantec shared\adblocking\NISShExt.dll
TB: Norton AntiVirus: {42cdd1bf-3ffb-4238-8ad1-7859df00b1d6} - c:\programme\norton internet security\norton antivirus\NavShExt.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
EB: &Discuss: {bdeade7f-c265-11d0-bced-00a0c90ab50f} - shdocvw.dll
EB: &Recherchieren: {ff059e31-cc5a-4e2e-bf3b-96e929d65503} - c:\progra~1\micros~3\office11\REFIEBAR.DLL
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
mRun: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
mRun: [AlcWzrd] ALCWZRD.EXE
mRun: [ATIPTA] c:\ati technologies\ati control panel\atiptaxx.exe
mRun: [PostOOBE] c:\windows\system32\wscript.exe c:\drivers\POSTOOBE.NEC //E:VBS
mRun: [Alcmtr] ALCMTR.EXE
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\1234\startm~1\progra~1\autost~1\fritz!~2.lnk - c:\programme\fritz!dsl\FwebProt.exe
StartupFolder: c:\dokume~1\1234\startm~1\progra~1\autost~1\fritz!~1.lnk - c:\programme\fritz!dsl\StCenter.exe
uPolicies-explorer: NoRecentDocsNetHood = 01000000
uPolicies-explorer: NoNetworkConnections = 01000000
uPolicies-explorer: NoStrCmpLogical = 00000000
IE: Google Sidewiki... - c:\programme\google\google toolbar\component\GoogleToolbarDynamic_mui_en_5F1A57F0B9B89E2E.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office11\EXCEL.EXE/3000
IE: Save YouTube Video - c:\programme\gemeinsame dateien\dvdvideosoft\dll\IEContextMenuY.dll/scriptY2MP4.htm
IE: Save YouTube Video as MP3 - c:\programme\gemeinsame dateien\dvdvideosoft\dll\IEContextMenuY.dll/scriptY2MP3.htm
IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office11\REFIEBAR.DLL
DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189022904546
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
Notify: AtiExtEvent - Ati2evxx.dll
mASetup: {9C450606-ED24-4958-92BA-B8940C99D441} - c:\programme\pixiepack codec pack\InstallerHelper.exe
Hosts: 209.85.135.104 msnfix.changelog.fr
Hosts: 209.85.135.104 www.incodesolutions.com
Hosts: 209.85.135.104 virusinfo.prevx.com
Hosts: 209.85.135.104 download.bleepingcomputer.com
Hosts: 209.85.135.104 www.dazhizhu.cn

Note: multiple HOSTS entries found. Please refer to Attach.txt

================= FIREFOX ===================

FF - ProfilePath - c:\dokume~1\1234\anwend~1\mozilla\firefox\profiles\z4oi9pz1.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\programme\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\google\google updater\2.4.1487.6512\npCIDetect13.dll
FF - plugin: c:\programme\google\update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\quicktime7\plugins\npqtplugin.dll
FF - plugin: c:\programme\quicktime7\plugins\npqtplugin2.dll
FF - plugin: c:\programme\quicktime7\plugins\npqtplugin3.dll
FF - plugin: c:\programme\quicktime7\plugins\npqtplugin4.dll
FF - plugin: c:\programme\quicktime7\plugins\npqtplugin5.dll
FF - plugin: c:\programme\quicktime7\plugins\npqtplugin6.dll
FF - plugin: c:\programme\quicktime7\plugins\npqtplugin7.dll
FF - plugin: c:\programme\real\netscape6\nppl3260.dll
FF - plugin: c:\programme\real\netscape6\nprjplug.dll
FF - plugin: c:\programme\real\netscape6\nprpjplug.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

============= SERVICES / DRIVERS ===============

R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2007-5-30 15104]
R3 RRNetCapMP;RRNetCapMP;c:\windows\system32\drivers\rrnetcap.sys [2009-10-7 27168]
S2 SAVRTPEL;SAVRTPEL;\??\c:\programme\norton internet security\norton antivirus\savrtpel.sys --> c:\programme\norton internet security\norton antivirus\SAVRTPEL.SYS [?]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2009-8-25 8704]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2009-8-25 3072]
S3 NAVENG;NAVENG;c:\progra~1\gemein~1\symant~1\virusd~1\20041020.038\NAVENG.SYS [2007-5-13 68168]
S3 NAVEX15;NAVEX15;c:\progra~1\gemein~1\symant~1\virusd~1\20041020.038\NAVEX15.SYS [2007-5-13 617288]
S3 RRNetCap;RRNetCap Service;c:\windows\system32\drivers\rrnetcap.sys [2009-10-7 27168]
S3 SAVRT;SAVRT;\??\c:\programme\norton internet security\norton antivirus\savrt.sys --> c:\programme\norton internet security\norton antivirus\SAVRT.SYS [?]
S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [2009-9-20 129535]
S4 ccEvtMgr;Symantec Event Manager;c:\programme\gemeinsame dateien\symantec shared\ccEvtMgr.exe [2004-9-3 197752]
S4 ccProxy;Symantec Network Proxy;c:\programme\gemeinsame dateien\symantec shared\ccProxy.exe [2004-9-3 234616]
S4 ccPwdSvc;Symantec Password Validation;c:\programme\gemeinsame dateien\symantec shared\ccPwdSvc.exe [2004-9-3 78968]
S4 ccSetMgr;Symantec Settings Manager;c:\programme\gemeinsame dateien\symantec shared\ccSetMgr.exe [2004-9-3 164984]
S4 gupdate1c987d458552984;Google Update Service (gupdate1c987d458552984);c:\programme\google\update\GoogleUpdate.exe [2009-2-5 133104]
S4 navapsvc;Norton AntiVirus Auto-Protect-Dienst;"c:\programme\norton internet security\norton antivirus\navapsvc.exe" --> c:\programme\norton internet security\norton antivirus\navapsvc.exe [?]
S4 SAVScan;SAVScan;"c:\programme\norton internet security\norton antivirus\savscan.exe" --> c:\programme\norton internet security\norton antivirus\SAVScan.exe [?]

=============== Created Last 30 ================

2010-01-22 13:40:09 367104 ----a-w- c:\windows\system32\drivers\Netfwdsl.sys
2010-01-22 13:40:09 3069 ----a-w- c:\windows\system32\NETDSL.INF
2010-01-22 13:40:09 28160 ----a-w- c:\windows\system32\drivers\Aadev.sys
2010-01-22 13:40:09 1783 ----a-w- c:\windows\system32\Netfwdsl.inf
2010-01-22 13:40:09 11264 ----a-w- c:\windows\system32\drivers\NETDSL.SYS
2010-01-22 13:40:08 0 d-----w- c:\programme\FRITZ!DSL
2010-01-22 13:39:55 0 d-----w- c:\programme\FRITZ!Box
2010-01-22 11:42:02 76013 ----a-w- c:\windows\_detmp.3
2010-01-22 11:42:02 131072 ----a-w- c:\windows\_detmp.4
2010-01-21 23:15:35 273024 ------w- c:\windows\system32\drivers\bthport.sys
2010-01-21 23:15:35 273024 ------w- c:\windows\system32\dllcache\bthport.sys
2010-01-21 23:12:52 128512 ------w- c:\windows\system32\dllcache\dhtmled.ocx
2010-01-21 23:11:32 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2010-01-21 23:10:52 655872 ------w- c:\windows\system32\dllcache\mstscax.dll
2010-01-21 23:09:31 1196000 ------w- c:\windows\system32\dllcache\sysmain.sdb
2010-01-20 09:40:41 0 d-----w- c:\programme\XGMER
2010-01-20 09:23:41 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-20 09:23:39 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-19 12:49:40 17920 ---ha-w- c:\dokumente und einstellungen\1234\ppbxg.exe
2010-01-18 15:20:49 17920 ---ha-w- c:\dokumente und einstellungen\1234\ijtjvyf.exe
2010-01-18 15:20:33 204800 --sh--r- c:\windows\system32\wmihtsp.exe
2010-01-17 12:45:21 6 ----a-w- c:\windows\WS_FTP.EXT
2010-01-17 12:45:21 0 ----a-w- c:\windows\WS_FTP.CNV
2009-12-30 16:17:42 0 d-----w- c:\programme\FREEVIDEOJOINER

==================== Find3M ====================

2009-12-16 12:57:07 18432 ----a-w- c:\windows\system32\dllcache\iedw.exe
2009-12-08 09:10:19 474624 ------w- c:\windows\system32\dllcache\shlwapi.dll
2009-11-21 16:37:59 470528 ------w- c:\windows\system32\dllcache\aclayers.dll
2009-10-26 22:01:21 63778 ----a-w- c:\windows\system32\perfc007.dat
2009-10-26 22:01:21 391330 ----a-w- c:\windows\system32\perfh007.dat
2006-05-03 09:06:54 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47:16 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 12:43:00 27648 --sh--w- c:\windows\system32\Smab0.dll

============= FINISH: 14:58:33,84 ===============

ATTACH :


UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-12-01.01)

Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume1
Install Date: 13.05.2007 03:50:08
System Uptime: 22.01.2010 14:49:42 (0 hours ago)

M[...]

==== System Restore Points ===================

No restore point in system.

==== Hosts File Hijack ======================

Hosts: 209.85.135.104 msnfix.changelog.fr
Hosts: 209.85.135.104 virusinfo.prevx.com
Hosts: 209.85.135.104 download.bleepingcomputer.com
[...]

==== End Of File ===========================

aber blee.. ist für mich nicht zugänglich

Gruss
Andy
 
Last edited by a moderator:
Das du bleeping nicht erreichen kannst ist normal. Die Malware hat die Adresse in der Hostdatei eingetragen und so wird die Seite geblockt, bzw umgeleitet...

Setze die Hostdatei bitte manuell zurueck. Infos dazu findest du hier:

http://support.microsoft.com/kb/972034/de
(fix it kannst du nicht herunterladen, da die andersse auch geblockt wird)

Danach starte neu und schaue, ob du folgende DAteien nun bei virustotal.com pruefen kannst. Wenn ja, poste die Links zum Ergebniss.

c:\dokumente und einstellungen\1234\ijtjvyf.exe
c:\windows\system32\wmihtsp.exe

Solltest du die Dateien nicht finden koennen, musst du die Ordneroptionen noch anders einstellen:
http://freenet-homepage.de/rene-gad/invisible.html
 
hosts renoviert und seiten wieder zugänglich !
und weiter gehts . . .

1.) ijtjvyf.exe

Code: 
File size: 17920 bytes
MD5...: aafc9ff0ffe50e65a3a159ce60ba0eeb
SHA1..: cc05ef6d07ff013ff74031a881ca93443df053f8
SHA256: d91a0990e722807c4ff0dacd0dab0e9a2790352bc4d277e30af47e9f53ec0dd8
ssdeep: 384:0yq0R8AEodWDPbdmCBZwdPnyaKnSbo8P5Xai/UvNWizg9q0geV6:rqrAEodM
Td/uyaKnSboWXai/UvNNEI0j
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15dc0
timedatestamp.....: 0x40683055 (Mon Mar 29 14:19:01 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0x4000 0x4000 7.89 3db2797c1db143d0e895feebbcc25000
UPX2 0x16000 0x1000 0x200 2.43 6061ef05e1c9d722eeaef9804a48b914

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> GDI32.DLL: BitBlt
> OLE32.DLL: OleSave

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.5%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Clipper DOS Executable (2.5%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=62ED52EF003FC1FB465D00DF3EBAC200DD278CD7' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=62ED52EF003FC1FB465D00DF3EBAC200DD278CD7</a>

2.) wmihtsp.exe
Code: 
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.01.22	Trojan.Win32.VBKrypt!IK
AhnLab-V3	5.0.0.2	2010.01.22	-
AntiVir	7.9.1.146	2010.01.22	SPR/Tool.VBInject.204800CN
Antiy-AVL	2.0.3.7	2010.01.22	Trojan/Win32.VBKrypt.gen
Authentium	5.2.0.5	2010.01.22	-
Avast	4.8.1351.0	2010.01.22	Win32:VB-OFZ
AVG	9.0.0.730	2010.01.22	Crypt.MDR
BitDefender	7.2	2010.01.22	Trojan.Generic.2991362
CAT-QuickHeal	10.00	2010.01.22	Trojan.VBKrypt.dh
ClamAV	0.94.1	2010.01.22	-
Comodo	3671	2010.01.22	TrojWare.Win32.VBKrypt.dh
DrWeb	5.0.1.12222	2010.01.22	Trojan.Inject.3631
eSafe	7.0.17.0	2010.01.21	Win32.VirToolVBInjec
eTrust-Vet	35.2.7253	2010.01.22	-
F-Prot	4.5.1.85	2010.01.21	-
F-Secure	9.0.15370.0	2010.01.22	Trojan.Generic.2991362
Fortinet	4.0.14.0	2010.01.22	W32/VBKrypt.DH!tr
GData	19	2010.01.22	Trojan.Generic.2991362
Ikarus	T3.1.1.80.0	2010.01.22	Trojan.Win32.VBKrypt
Jiangmin	13.0.900	2010.01.22	Trojan/VBKrypt.hl
K7AntiVirus	7.10.951	2010.01.20	Trojan.Win32.VBKrypt.dh
Kaspersky	7.0.0.125	2010.01.22	Trojan.Win32.VBKrypt.dh
McAfee	5868	2010.01.21	-
McAfee+Artemis	5868	2010.01.21	Artemis!35DD796A5C27
McAfee-GW-Edition	6.8.5	2010.01.22	Heuristic.LooksLike.Trojan.Agent.H
Microsoft	1.5405	2010.01.22	VirTool:Win32/VBInject.gen!CN
NOD32	4797	2010.01.22	a variant of Win32/Injector.APO
Norman	6.04.03	2010.01.22	W32/AutoRun.AXTJ
nProtect	2009.1.8.0	2010.01.22	-
Panda	10.0.2.2	2010.01.22	Generic Malware
PCTools	7.0.3.5	2010.01.22	Trojan.Generic
Prevx	3.0	2010.01.22	Medium Risk Malware Dropper
Rising	22.31.04.04	2010.01.22	-
Sophos	4.50.0	2010.01.22	Mal/Nyrate-B
Sunbelt	3.2.1858.2	2010.01.22	-
Symantec	20091.2.0.41	2010.01.22	Trojan Horse
TheHacker	6.5.0.9.158	2010.01.22	-
TrendMicro	9.120.0.1004	2010.01.22	WORM_SPYBOT.MCS
VBA32	3.12.12.1	2010.01.21	Trojan.Win32.VBKrypt.dh
ViRobot	2010.1.22.2151	2010.01.22	Trojan.Win32.VBKrypt.204800
VirusBuster	5.0.21.0	2010.01.22	-
weitere Informationen
File size: 204800 bytes
MD5...: 35dd796a5c277114b7e4d907e34b8c63
SHA1..: 2f64e7f7ac340430f311d5d9f0b3437cbe550279
SHA256: c419e04f9781748cc842c422e25b559bc641f5ef195c558e69b47da130f321a3
ssdeep: 3072:qRu3auifGs3UgoQA8AEADoH6B2l9jUYzl1EZrVhiEqctsGBveIDB9NmtnRa
LFx:GENVpRkH6Bi9wYzarVIEqcts7O0tRax
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10c4
timedatestamp.....: 0x4b49bab6 (Sun Jan 10 11:32:06 2010)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10d84 0x11000 4.09 55da2258cb42cea87c6908004b8e2d36
.data 0x12000 0x730 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x13000 0x1ff9c 0x20000 7.99 66fd5297f37dd98c983ab29f9dfcfa21

( 1 imports )
> MSVBVM60.DLL: -, -, -, -, -, -, DllFunctionCall, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....:
product......: n/a
description..: n/a
original name: n/a
internal name:
file version.:
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8CA553B200D7993220FF03B98C2F550034145DE1' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8CA553B200D7993220FF03B98C2F550034145DE1</a>

sind wohl beide reichlich verdächtig !

Gruss
Andy
 
2. versuch

Sorry bei ijtjvyf ist wohl was schiefgelaufen, hier nochmal

Dieser post hat sich wohl mit deinem nr.17 überschnitten, das brauchst du dann wohl nicht.
Habe den rechner gebraucht gekauft und die übernahme von norton war mir unklar.

Code: 
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.01.22	Trojan.Crypt!IK
AhnLab-V3	5.0.0.2	2010.01.22	-
AntiVir	7.9.1.146	2010.01.22	TR/Crypt.XPACK.Gen
Antiy-AVL	2.0.3.7	2010.01.22	-
Authentium	5.2.0.5	2010.01.22	W32/Backdoor2.GODN
Avast	4.8.1351.0	2010.01.22	Win32:Malware-gen
AVG	9.0.0.730	2010.01.22	Generic16.ADZZ
BitDefender	7.2	2010.01.22	Backdoor.Generic.251143
CAT-QuickHeal	10.00	2010.01.22	TrojanDropper.Delphi.gen
ClamAV	0.94.1	2010.01.22	-
Comodo	3671	2010.01.22	UnclassifiedMalware
DrWeb	5.0.1.12222	2010.01.22	BackDoor.Tofsee
eSafe	7.0.17.0	2010.01.21	-
eTrust-Vet	None	2010.01.22	-
F-Prot	4.5.1.85	2010.01.21	W32/Backdoor2.GODN
F-Secure	9.0.15370.0	2010.01.22	Backdoor.Generic.251143
Fortinet	4.0.14.0	2010.01.22	-
GData	19	2010.01.22	Backdoor.Generic.251143
Ikarus	T3.1.1.80.0	2010.01.22	Trojan.Crypt
Jiangmin	13.0.900	2010.01.22	-
K7AntiVirus	7.10.951	2010.01.20	-
Kaspersky	7.0.0.125	2010.01.22	-
McAfee	5868	2010.01.21	Generic.dx!lkt
McAfee+Artemis	5868	2010.01.21	Generic.dx!lkt
McAfee-GW-Edition	6.8.5	2010.01.22	Trojan.Crypt.XPACK.Gen
Microsoft	1.5405	2010.01.22	Backdoor:Win32/Tofsee.I
NOD32	4797	2010.01.22	a variant of Win32/Kryptik.OQ
Norman	6.04.03	2010.01.22	-
nProtect	2009.1.8.0	2010.01.22	-
Panda	10.0.2.2	2010.01.22	Trj/CI.A
PCTools	7.0.3.5	2010.01.22	Backdoor.Trojan
Prevx	3.0	2010.01.22	Medium Risk Malware
Rising	22.31.04.04	2010.01.22	Packer.Win32.UnkPacker.a
Sophos	4.50.0	2010.01.22	Mal/Generic-A
Sunbelt	3.2.1858.2	2010.01.22	-
Symantec	20091.2.0.41	2010.01.22	Backdoor.Trojan
TheHacker	6.5.0.9.158	2010.01.22	-
TrendMicro	9.120.0.1004	2010.01.22	PAK_Generic.001
VBA32	3.12.12.1	2010.01.21	-
ViRobot	2010.1.22.2151	2010.01.22	-
VirusBuster	5.0.21.0	2010.01.22	Trojan.Hype.O
weitere Informationen
File size: 17920 bytes
MD5...: aafc9ff0ffe50e65a3a159ce60ba0eeb
SHA1..: cc05ef6d07ff013ff74031a881ca93443df053f8
SHA256: d91a0990e722807c4ff0dacd0dab0e9a2790352bc4d277e30af47e9f53ec0dd8
ssdeep: 384:0yq0R8AEodWDPbdmCBZwdPnyaKnSbo8P5Xai/UvNWizg9q0geV6:rqrAEodM
Td/uyaKnSboWXai/UvNNEI0j
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15dc0
timedatestamp.....: 0x40683055 (Mon Mar 29 14:19:01 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0x4000 0x4000 7.89 3db2797c1db143d0e895feebbcc25000
UPX2 0x16000 0x1000 0x200 2.43 6061ef05e1c9d722eeaef9804a48b914

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> GDI32.DLL: BitBlt
> OLE32.DLL: OleSave

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.5%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Clipper DOS Executable (2.5%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.UPX, UPX
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=62ED52EF003FC1FB465D00DF3EBAC200DD278CD7' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=62ED52EF003FC1FB465D00DF3EBAC200DD278CD7</a>
packers (Authentium): UPX
packers (F-Prot): UPX
 
Last edited:
murphys law

Hallo Ralf

au mann !
da das mit der f5 taste nicht so recht klappte hab ich versucht
für den drweblauf über msconfig bootini safeboot im geschützten modus zu starten.
ergebnis : nach dem hardwaredurchlauf sone art bluescreen mit wilder
fehlermeldung.
Jetzt muss ich erstmal meine bootdvd von arbeit holen.
Also heute wird das wohl nix mehr.
Vielen dank für deine mühe und nen schönen Abend.

Gruss
Andy
 
Ja, den abgesicherten Modus sollte man nur via F8 Taste starten, da das besonders bei Malwarebefall schnell daneben gehen kann....
 
You must log in or register to reply here.
Back
Top