Log in or Sign up

Liebe Forumsgemeinde,

aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
Dies wird in den nächsten Tagen umgesetzt.

Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
Dismiss Notice

hijackthis auslesen

Discussion in 'Sicherheit' started by Jagger192, May 8, 2009.

Thread Status:: Not open for further replies.

Page 1 of 2

Jagger192 Byte

Hi

Immer wenn ich eine neue seite aufrufe kommen 2-3 andere seiten mit werbung hinzu.
Kann mal jemand mein hijackthis auswerten, ich steige da nicht durch und die online auswertung konnte mir auch nicht helfen.

http://www.materialordner.de/k6C9j6Qwz9U0ySRz5SDvtc3IQ1QWed2p.html

Jagger

Jagger192, May 8, 2009

#1
halo94 Kbyte

lad hir den log hoch als txt

halo94, May 8, 2009

#2
Jagger192 Byte
OK

Danke hätte ich auch selber drauf kommen können.
Attached Files:
- $hijackthis.txt
  
  File size:
  
  6.4 KB
  
  Views:
  
  29
Jagger192, May 8, 2009

#3
halo94 Kbyte

die seite ist ganz gut zum auswerten www.hijackthis.de
eigentlich alles ok

halo94, May 8, 2009

#4

deoroller Wandelndes Forum

Lasse mal die Dateien bei Jotti/Virustotal scannen.

Code:

C:\dokumente und einstellungen\jagger\lokale einstellungen\anwendungsdaten\[B][COLOR="Red"]geugo.exe
[/COLOR][/B]
O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - C:\WINDOWS\System32\[COLOR="Red"][B]mifi.dll[/B][/COLOR]

deoroller, May 8, 2009

#5

Jagger192 Byte

Hi

Die erste datei finde ich nicht auf meinem rechner.

Bei C:\dokumente und einstellungen\jagger\lokale einstellungen bleibe ich hängen, finde da keine lokale einstellungen .....

Die andere könnte ich hochladen, ergebnis ist....

Datei mifi.dll empfangen 2009.05.09 11:12:49 (CET)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.09 -
AhnLab-V3 5.0.0.2 2009.05.08 -
AntiVir 7.9.0.166 2009.05.08 TR/BHO.Gen
Antiy-AVL 2.0.3.1 2009.05.08 -
Authentium 5.1.2.4 2009.05.08 W32/Pws.BKHA
Avast 4.8.1335.0 2009.05.08 -
AVG 8.5.0.327 2009.05.08 PSW.Agent.WJV
BitDefender 7.2 2009.05.09 Trojan.Generic.1212393
CAT-QuickHeal 10.00 2009.05.08 -
ClamAV 0.94.1 2009.05.09 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.09 Trojan.Click.24094
eSafe 7.0.17.0 2009.05.07 -
eTrust-Vet 31.6.6497 2009.05.08 -
F-Prot 4.4.4.56 2009.05.08 W32/Pws.BKHA
F-Secure 8.0.14470.0 2009.05.08 -
Fortinet 3.117.0.0 2009.05.09 -
GData 19 2009.05.09 Trojan.Generic.1212393
Ikarus T3.1.1.49.0 2009.05.09 -
K7AntiVirus 7.10.729 2009.05.08 -
Kaspersky 7.0.0.125 2009.05.09 -
McAfee 5609 2009.05.08 -
McAfee+Artemis 5609 2009.05.08 -
McAfee-GW-Edition 6.7.6 2009.05.09 Trojan.BHO.Gen
Microsoft 1.4602 2009.05.09 -
NOD32 4063 2009.05.08 -
Norman 6.01.05 2009.05.08 -
nProtect 2009.1.8.0 2009.05.09 Trojan-PWS/W32.Agent.185856.D
Panda 10.0.0.14 2009.05.08 -
PCTools 4.4.2.0 2009.05.07 -
Prevx 3.0 2009.05.09 -
Rising 21.28.41.00 2009.05.08 -
Sophos 4.41.0 2009.05.09 -
Sunbelt 3.2.1858.2 2009.05.09 -
Symantec 1.4.4.12 2009.05.09 -
TheHacker 6.3.4.1.323 2009.05.08 -
TrendMicro 8.950.0.1092 2009.05.08 -
VBA32 3.12.10.4 2009.05.08 Trojan-PSW.Win32.Agent.leo
ViRobot 2009.5.9.1727 2009.05.09 Trojan.Win32.PSWAgent.185856.E
VirusBuster 4.6.5.0 2009.05.08 -

weitere Informationen
File size: 185856 bytes
MD5...: 147a53e26ac6b60a6fffbe8213a5f6fc
SHA1..: 5451ed69ca4e8312b37fc58529cb76a8fd74fe5e
SHA256: 5ef32c9e1b37a9d30c32313f3f291751cc11c681fa4c31099fb93c15b250cbd6
SHA512: 02b2ad73ef4004bf2969196ce4b9e45374acc53d871404b41b0a17a141516159<BR>9417d0fcdc8a8949db3647fba95f45ed72942f924f18ef820811d2702dc24d0d
ssdeep: 3072:x+19nJd30M3D5jIimsTP4TTZz2/VruQk5kobk54V8:I1dkMVIWsTt2/VyQk<BR>24B<BR>
PEiD..: -
TrID..: File type identification<BR>DirectShow filter (52.6%)<BR>Windows OCX File (32.2%)<BR>Win32 Executable MS Visual C++ (generic) (9.8%)<BR>Win32 Executable Generic (2.2%)<BR>Win32 Dynamic Link Library (generic) (1.9%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x10f9f<BR>timedatestamp.....: 0x48b53555 (Wed Aug 27 11:07:01 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1e15e 0x1e200 6.59 586663602908758bd217ab9045eb7cc0<BR>.rdata 0x20000 0x754d 0x7600 4.88 3a937899cfa6a51735bbd15c1d183c35<BR>.data 0x28000 0x43f8 0x3800 4.97 3aa09ab1a766fe09d61695e2b638459f<BR>.rsrc 0x2d000 0x1180 0x1200 4.47 582dcc4274fc37bf812e1259b2a11efa<BR>.reloc 0x2f000 0x2f72 0x3000 5.13 7c0a25eb5e0f863561209d2759255535<BR><BR>( 7 imports ) <BR>> WININET.dll: InternetOpenUrlA, HttpQueryInfoA, InternetCloseHandle, InternetReadFile, InternetOpenA, InternetSetCookieA<BR>> KERNEL32.dll: GetLastError, InterlockedIncrement, InterlockedDecrement, GetProcAddress, GetModuleHandleA, lstrlenA, lstrcmpiA, IsDBCSLeadByte, FreeLibrary, LoadLibraryExA, GetModuleFileNameA, EnterCriticalSection, LeaveCriticalSection, GetSystemDirectoryA, GetModuleHandleW, SetThreadLocale, FindResourceExA, CreateThread, CloseHandle, WaitForSingleObject, CreateProcessA, GetTempFileNameA, GetTempPathA, ReadFile, CreateFileA, WriteFile, lstrcmpA, LoadLibraryA, InitializeCriticalSectionAndSpinCount, FindResourceA, LoadResource, LockResource, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetTimeZoneInformation, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetThreadLocale, GetLocaleInfoA, GetEnvironmentStringsW, GetStringTypeW, GetStringTypeA, GetCurrentProcessId, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, GetCurrentDirectoryA, GetFullPathNameA, LCMapStringW, LCMapStringA, GetTickCount, QueryPerformanceCounter, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, RtlUnwind, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetSystemTimeAsFileTime, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeA, FindFirstFileA, GetCurrentThreadId, GetCommandLineA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, VirtualFree, HeapCreate, Sleep, ExitProcess, GetStdHandle<BR>> USER32.dll: CharNextA, CharNextW<BR>> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA<BR>> ole32.dll: CoTaskMemAlloc, CoTaskMemRealloc, CoTaskMemFree, CoCreateInstance, CLSIDFromProgID, CoInitialize, StringFromGUID2<BR>> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -<BR>> urlmon.dll: ObtainUserAgentString<BR><BR>( 4 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-

Jagger192, May 9, 2009

#6
deoroller Wandelndes Forum

Ein Trojaner, der Passwörter ausliest, ist nicht gerade harmlos.
Der andere muss aber da sein, denn sonst würde er nicht unter den laufenden Prozessen gelistet. Werden alle Dateien angezeigt? Siehe Ordnereigenschaften-Anzeige.

deoroller, May 9, 2009

#7
Jagger192 Byte

Passwörter ausliest??? omg

Wie bekomme ich den weg?
Einfach löschen?

Die andere datei finde ich erlich nicht, und ja steht auf alle datein anzeigen.

Muss ich noch mal suche lassen.

Jagger

Jagger192, May 9, 2009

#8
deoroller Wandelndes Forum
Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://www2.tu-berlin.de/www/software/virus/savemode.shtml
Temporäre Dateien löschen, mit:
CCleaner (Portable- kein Installer) http://www.wintotal.de/Software/index.php?id=2185
Anleitung:http://virus-protect.org/ccleaner.html
Mit HijackThis fixen:

Code:

O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - C:\WINDOWS\System32\mifi.dll

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Dann mit Malwarebytes' scannen und eindeutig erkannte Schädlinge entfernen lassen.
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
deoroller, May 9, 2009

#9
Jagger192 Byte

Hi

Erst mal danke für die hilfe, konnte die datei löschen und es würden auch noch andere viren usw. gefunden und gelöscht.
Leider habe ich immer noch das problem von fenster die sich öfnen mit werbung von neckamann... windows .... usw.
Könntet ihr noch mal über meinen neuen hijackthis schauen....

Danke Jagger

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:27, on 13.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Delux\PS2 Keyboard English Edition\keyboard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
c:\dokumente und einstellungen\jagger\lokale einstellungen\anwendungsdaten\wuemq.exe
O:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.biut.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [ClockGen] C:\DOKUME~1\Jagger\LOKALE~1\Temp\Temporäres Verzeichnis 1 für ClockGen.105.zip\ClockGen.exe -i p=0
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Nlaxg] C:\Programme\??stem\m?hta.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Aace] "C:\WINDOWS\SKS~1\fast.exe" -vt yazb
O4 - HKCU\..\Run: [wuemq] "c:\dokumente und einstellungen\jagger\lokale einstellungen\anwendungsdaten\wuemq.exe" wuemq
O4 - Global Startup: PS2 Keyboard English Edition.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5d86ddb5-bdf9-441b-9e9e-d4730f4ee499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - (no file)
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6967 bytes

Jagger192, May 13, 2009

#10
deoroller Wandelndes Forum

c:\dokumente und einstellungen\jagger\lokale einstellungen\anwendungsdaten\wuemq.exe und
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
bei Jotti/Virustotal scannen lassen.

deoroller, May 13, 2009

#11
Jagger192 Byte

OK habe ich gemacht.
Was ich noch komisch finde ist das mir beim runterfahren des rechners immer gesagt wird das ich ein neues program interliert habe, und zwar mein avast anti viren programm.
Habe es aber schon länger und sonst auch keine probleme gehabt.

Datei wuemq.exe empfangen 2009.05.13 20:57:53 (CET)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.13 -
AhnLab-V3 5.0.0.2 2009.05.13 -
AntiVir 7.9.0.166 2009.05.13 -
Antiy-AVL 2.0.3.1 2009.05.13 -
Authentium 5.1.2.4 2009.05.13 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.13 -
BitDefender 7.2 2009.05.13 -
CAT-QuickHeal 10.00 2009.05.13 -
ClamAV 0.94.1 2009.05.13 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.13 -
eSafe 7.0.17.0 2009.05.12 -
eTrust-Vet 31.6.6503 2009.05.13 -
F-Prot 4.4.4.56 2009.05.13 -
F-Secure 8.0.14470.0 2009.05.13 -
Fortinet 3.117.0.0 2009.05.13 -
GData 19 2009.05.13 -
Ikarus T3.1.1.49.0 2009.05.13 -
K7AntiVirus 7.10.734 2009.05.13 -
Kaspersky 7.0.0.125 2009.05.13 -
McAfee 5614 2009.05.13 -
McAfee+Artemis 5614 2009.05.13 -
McAfee-GW-Edition 6.7.6 2009.05.13 Trojan.LooksLike.Skintrim.291840D
Microsoft 1.4602 2009.05.13 -
NOD32 4072 2009.05.13 -
Norman 6.01.05 2009.05.13 -
nProtect 2009.1.8.0 2009.05.13 -
Panda 10.0.0.14 2009.05.13 -
PCTools 4.4.2.0 2009.05.07 -
Prevx 3.0 2009.05.13 Low Risk Adware
Rising 21.29.24.00 2009.05.13 -
Sophos 4.41.0 2009.05.13 Mal/SkimTrim-E
Sunbelt 3.2.1858.2 2009.05.13 -
Symantec 1.4.4.12 2009.05.13 -
TheHacker 6.3.4.1.325 2009.05.13 -
TrendMicro 8.950.0.1092 2009.05.13 -
VBA32 3.12.10.5 2009.05.13 -
ViRobot 2009.5.13.1733 2009.05.13 -

weitere Informationen
File size: 323584 bytes
MD5...: 2aed1a68eb2e234417e786848a792660
SHA1..: 829d8d84e57548ca64871d3450030cfaf90fe2f8
SHA256: df0114b150cbf9a4d82c66a4fbc1e12cf44a5f82c9ed8e639e14bea102e448c5
SHA512: 4da0cd41fba2cfad9791d82f588b8a6237b9101dfb50f3d099e422570e439241<BR>fc96498e090c024e5f7cbacd3531e6079a9cdc7072353b9f3f2e42706940fb19
ssdeep: 6144:Gicwdqh+zKsbeLZ+3/C+OAqz4N5CXh+/ZuRi:GiRdqh+BbeLwhqz4N0+xH<BR>
PEiD..: Armadillo v1.71
TrID..: File type identification<BR>Win32 Executable MS Visual C++ (generic) (65.2%)<BR>Win32 Executable Generic (14.7%)<BR>Win32 Dynamic Link Library (generic) (13.1%)<BR>Generic Win/DOS Executable (3.4%)<BR>DOS Executable Generic (3.4%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x3d124<BR>timedatestamp.....: 0x42bce317 (Sat Jun 25 04:52:39 2005)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x4001a 0x41000 7.36 ce784f0dce2626219adf253e6f1ee254<BR>.rdata 0x42000 0x71d6 0x8000 5.33 e48a729a398855106f8277743d8d6548<BR>.data 0x4a000 0x407c 0x4000 2.36 4e3d5998aeba799551a59bab29c27760<BR>.rsrc 0x4f000 0x320 0x1000 0.77 738967af41fa7da09bd83db3f1bc2309<BR><BR>( 11 imports ) <BR>> SHLWAPI.dll: StrCatBuffA<BR>> SHELL32.dll: SHFileOperationA, DragFinish, SHBrowseForFolderA<BR>> USER32.dll: CreateDialogParamA, TranslateAcceleratorA, SetCapture, GetKeyboardLayoutList, SetFocus, RegisterClipboardFormatW, AttachThreadInput, SetMenuItemInfoW, GetPropW, IsDlgButtonChecked, DdeCreateStringHandleW<BR>> GDI32.dll: RectInRegion, StretchDIBits, FrameRgn, Rectangle, GetNearestPaletteIndex, OffsetViewportOrgEx, GetFontData, ExtCreateRegion, SetBkMode, ScaleViewportExtEx, GetPaletteEntries, DPtoLP, SelectClipRgn, GetRgnBox, CreateDCW, SelectPalette, GetEnhMetaFileHeader, CreatePatternBrush, GetOutlineTextMetricsW, CreateBrushIndirect, CreateDIBSection, EnumEnhMetaFile, SetLayout, StretchBlt, Polygon, GetTextExtentPointW, Polyline, GetWindowExtEx, DeleteMetaFile, DeleteObject, CreateEllipticRgn, GetWindowOrgEx, GetCurrentPositionEx, GdiComment<BR>> KERNEL32.dll: GetOEMCP, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, GetACP, VirtualAlloc, MapViewOfFile, FreeEnvironmentStringsA, EnterCriticalSection, GlobalAddAtomW, Sleep, CreateDirectoryA, SetWaitableTimer, CreateIoCompletionPort, GetSystemInfo, CreateProcessW, GlobalLock, GetFileAttribute***W, TlsFree, GetPrivateProfileIntW, Process32NextW, MoveFileExA, LCMapStringA, GetModuleHandleA, InterlockedDecrement, LocalLock, Process32FirstW, InterlockedExchange, GetModuleHandleW, OpenMutexW, FreeLibrary, SetLastError, QueryDosDeviceW, DeleteTimerQueueEx, FindCloseChangeNotification, GetLocaleInfoA, GetCommandLineW, IsValidCodePage, UnlockFile, ExitThread, HeapDestroy, IsValidLocale, ReleaseMutex, GetStartupInfoA, FormatMessageW, TlsGetValue, FindFirstFileA, HeapAlloc, DosDateTimeToFileTime, GetDiskFreeSpaceA, GetPrivateProfileIntA, GetSystemWindowsDirectoryW, FreeResource, AddAtomA, WritePrivateProfileSectionA, GetTimeZoneInformation, LocalUnlock, GetCurrentProcess, WriteFile, ReadFile, CreateProcessA, IsDebuggerPresent, GetFileAttributesW, GetCPInfo, LeaveCriticalSection, InitializeCriticalSection, RtlUnwind, HeapFree, VirtualFree, HeapCreate, GetVersionExA, GetEnvironmentVariableA, GetLastError, TlsAlloc, TlsSetValue, GetCurrentThreadId, GetFileType, LCMapStringW, GetStringTypeA, InterlockedIncrement, GetStringTypeW, GetSystemDirectoryW, OpenProcess, GetStdHandle, SetHandleCount, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW<BR>> ole32.dll: CoReleaseMarshalData, StgCreateDocfileOnILockBytes, CLSIDFromProgID, OleGetClipboard, CoCreateFreeThreadedMarshaler, CoUnmarshalInterface, OleQueryCreateFromData, RevokeDragDrop<BR>> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoSizeW<BR>> comdlg32.dll: GetOpenFileNameW, GetSaveFileNameA, ChooseColorA<BR>> COMCTL32.dll: ImageList_DragShowNolock, ImageList_GetDragImage, ImageList_Add<BR>> ADVAPI32.dll: GetSecurityDescriptorDacl, AdjustTokenPrivileges, RegEnumKeyW, GetFileSecurityA, GetAce, AddAccessAllowedAce<BR>> OLEAUT32.dll: -<BR><BR>( 0 exports ) <BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C54A256A009DC883F0660444B5CEAE0096A744C2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C54A256A009DC883F0660444B5CEAE0096A744C2</a>

----------------------------------------------------------------------------------------------------

Datei YTSingleInstance.dll empfangen 2009.05.13 21:01:45 (CET)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.13 -
AhnLab-V3 5.0.0.2 2009.05.13 -
AntiVir 7.9.0.166 2009.05.13 -
Antiy-AVL 2.0.3.1 2009.05.13 -
Authentium 5.1.2.4 2009.05.13 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.13 -
BitDefender 7.2 2009.05.13 -
CAT-QuickHeal 10.00 2009.05.13 -
ClamAV 0.94.1 2009.05.13 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.13 -
eSafe 7.0.17.0 2009.05.12 -
eTrust-Vet 31.6.6503 2009.05.13 -
F-Prot 4.4.4.56 2009.05.13 -
F-Secure 8.0.14470.0 2009.05.13 -
Fortinet 3.117.0.0 2009.05.13 -
GData 19 2009.05.13 -
Ikarus T3.1.1.49.0 2009.05.13 -
K7AntiVirus 7.10.734 2009.05.13 -
Kaspersky 7.0.0.125 2009.05.13 -
McAfee 5614 2009.05.13 -
McAfee+Artemis 5614 2009.05.13 -
McAfee-GW-Edition 6.7.6 2009.05.13 -
Microsoft 1.4602 2009.05.13 -
NOD32 4072 2009.05.13 -
Norman 6.01.05 2009.05.13 -
nProtect 2009.1.8.0 2009.05.13 -
Panda 10.0.0.14 2009.05.13 -
PCTools 4.4.2.0 2009.05.07 -
Prevx 3.0 2009.05.13 -
Rising 21.29.24.00 2009.05.13 -
Sophos 4.41.0 2009.05.13 -
Sunbelt 3.2.1858.2 2009.05.13 -
Symantec 1.4.4.12 2009.05.13 -
TheHacker 6.3.4.1.325 2009.05.13 -
TrendMicro 8.950.0.1092 2009.05.13 -
VBA32 3.12.10.5 2009.05.13 -
ViRobot 2009.5.13.1733 2009.05.13 -
VirusBuster 4.6.5.0 2009.05.13 -

weitere Informationen
File size: 160496 bytes
MD5...: f64c4241fe5e519f62c47c361dc671d7
SHA1..: 165ad669bc3dbdad4ef02c48b7b335fbbbf14151
SHA256: 2602f6939a595b54d69f9fe023e044a085a9554f0829a9a9991999c6130b1aa3
SHA512: b562c37c22d61fd6eff789c02ad09458dccf8ec4a6eded9758d59d5ac7aa0d81<BR>37faf11ee9a04346dfbb1b0d635852c2c2a277567b959c0ad628d39b0e163606
ssdeep: 3072w6b+d44Dt93i94grh+DicrNP8DNtthxWWgd44Dt9WncmrR7Wb<BR>
PEiD..: -
TrID..: File type identification<BR>DirectShow filter (43.0%)<BR>Windows OCX File (26.3%)<BR>Win64 Executable Generic (18.2%)<BR>Win32 Executable MS Visual C++ (generic) (8.0%)<BR>Win32 Executable Generic (1.8%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xdd94<BR>timedatestamp.....: 0x488da143 (Mon Jul 28 10:36:51 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1935e 0x19400 6.66 30c339001540c290dc203bb31a9b1920<BR>.orpc 0x1b000 0x2c 0x200 0.80 e87e68a6eb9218abd8ee28672938021d<BR>.rdata 0x1c000 0x685d 0x6a00 5.00 e4b494d3a68c5e7e31fb06237ba4fe45<BR>.data 0x23000 0x391c 0x1c00 4.34 1f82786d6897d66a3f58a54ac6ea3471<BR>.rsrc 0x27000 0x12a0 0x1400 4.81 897446f30bd0b2aef0b85adcad699aac<BR>.reloc 0x29000 0x28ea 0x2a00 4.91 610249710462cef2e49a6e8f38c84fda<BR><BR>( 9 imports ) <BR>> OLEACC.dll: AccessibleObjectFromWindow, AccessibleChildren, ObjectFromLresult, GetRoleTextW<BR>> WININET.dll: HttpQueryInfoW, InternetCanonicalizeUrlW, InternetConnectW, InternetCrackUrlW, HttpOpenRequestW, InternetCloseHandle, InternetOpenA, HttpSendRequestW<BR>> KERNEL32.dll: FlushFileBuffers, CloseHandle, CreateFileA, LeaveCriticalSection, GetLastError, InitializeCriticalSection, InterlockedIncrement, lstrcmpiA, InterlockedDecrement, GetModuleFileNameA, WideCharToMultiByte, lstrlenW, GetThreadLocale, SetThreadLocale, DeleteCriticalSection, IsDBCSLeadByte, RaiseException, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, MultiByteToWideChar, FreeLibrary, lstrlenA, GetModuleHandleA, GetCurrentProcessId, GetVersionExA, LoadLibraryA, GetProcAddress, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, InterlockedExchange, GetConsoleMode, GetConsoleCP, SetFilePointer, RtlUnwind, TlsAlloc, TlsSetValue, TlsFree, SetLastError, LCMapStringA, LCMapStringW, EnterCriticalSection, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, TlsGetValue, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetProcessHeap, GetCommandLineA, GetCurrentThreadId, HeapFree, HeapReAlloc, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, HeapAlloc, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, HeapSize, Sleep, GetStdHandle, WriteFile, ExitProcess, HeapCreate, HeapDestroy, VirtualFree<BR>> USER32.dll: RegisterWindowMessageA, UnregisterClassA, CharNextA, GetWindowThreadProcessId, SendMessageTimeoutA, ShowWindow, GetWindowPlacement, GetClassNameW, EnumChildWindows, EnumWindows, SetForegroundWindow<BR>> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegQueryInfoKeyA, RegCloseKey, RegDeleteKeyA, RegSetValueExA, RegDeleteValueA, RegEnumKeyExA, RegCreateKeyExA<BR>> ole32.dll: CoCreateInstance, StringFromGUID2, CoTaskMemRealloc, OleRun, CoTaskMemAlloc, CoTaskMemFree<BR>> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>> RPCRT4.dll: NdrCStdStubBuffer2_Release, NdrDllRegisterProxy, IUnknown_AddRef_Proxy, IUnknown_QueryInterface_Proxy, IUnknown_Release_Proxy, NdrStubForwardingFunction, NdrStubCall2, NdrOleFree, NdrDllCanUnloadNow, NdrDllUnregisterProxy, NdrDllGetClassObject, NdrOleAllocate<BR>> SHLWAPI.dll: StrStrIW<BR><BR>( 4 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-

Jagger192, May 13, 2009

#12
deoroller Wandelndes Forum

Die beiden Dateien sind anscheinend nicht schädlich.
Du kannst mal mit Malwarebytes' scannen.
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

deoroller, May 13, 2009

#13
derblöde Megabyte

Hör auf, weiter an deinem System herumzudoktorn!
Ein derart kompromitiertes (=verseuchtes) System ist verbrannt, d.h., niemand kann dir garantieren, dass es, nach welchen Maßnahmen auch immer, wieder sauber ist!
http://de.wikipedia.org/wiki/Technische_Kompromittierung
Sichere deine wichtigen Daten (bzw. das hast du hoffentlich schon lange vorher getan) und installiere neu (nach Formatierung). Solltest du ein Image (Sytembackup) deines Systems erstellt haben, darf dies nur wiederhergestellt werden, wenn du ganz sicher bist, dass es vor der Infizierung erstellt wurde.
Und ändere alle Passwörter!
Und schalte in Zukunft den Verstand ein!

derblöde, May 14, 2009

#14
Jagger192 Byte

QUOTE=derblöde;2006082]Hör auf, weiter an deinem System herumzudoktorn!
Und schalte in Zukunft den Verstand ein![/QUOTE]

Hi derblöde

Ist ja geil was du da schreibst, kannst du mir mal erzählen wie ich meinen verstand bei meinem PC einsetzen soll.
Was soll ich denmachen außer einer firewall, Extra virenprogramm was nach Test gut ist, und neuste windows?????????????

Was zum Geier bringt mir ein FORMAT C, (wenn ich das schön höre, bei jedem Problem heißt es Format c.
Das ist so als wenn ich als Maurer sagen würde wenn 1 Stein in der wand kaputt ist das ganze Haus ab zu reisen.)
Wenn ich nach dem neu installation nach 5 min Internet das selbe Problem habe.

Und deoroller habe schon mit malware gesucht, er hatte 10 Viren gefunden und gelöscht, beim 2 scan sagte er Null viren.

QUOTE=derblöde;2006082]Hör auf, weiter an deinem System herumzudoktorn!
Und schalte in Zukunft den Verstand ein![/QUOTE]

Hi derblöde

Ist ja geil was du da schreibst, kannst du mir mal erzählen wie ich meinen verstand bei meinem PC einsetzen soll.
Was soll ich denmachen außer einer firewall, Extra virenprogramm was nach Test gut ist, und neuste windows?????????????

Was zum Geier bringt mir ein FORMAT C, (wenn ich das schön höre, bei jedem Problem heißt es Format c.
Das ist so als wenn ich als Maurer sagen würde wenn 1 Stein in der wand kaputt ist das ganze Haus ab zu reisen.)
Wenn ich nach dem neu installation nach 5 min Internet das selbe Problem habe.

Und deoroller habe schon mit malware gesucht, er hatte 10 Viren gefunden und gelöscht, beim 2 scan sagte er Null viren.

Ach noch was.
Wie kann es sein das hier in einem Beitrag 3 verschiedene meinung gibt, von ohne Probleme zu kann man was machen bis total schaden.
Ich habe nu mal nicht so viel Ahnung von PC, bin aber öfter in einem car-hifi Forum wo von ich Ahnung habe und viel schreibe und helfe, aber 3 so unterschiedliche meinungen haben wir nie, ohne das darüber mal geredet wird, oder ein admin was sagt.

Jagger192, May 14, 2009

#15
derblöde Megabyte

Du hast Alles getan, was möglich ist?
Und wo kommen dann 10 Schädlinge her? Von nix kommt so was nicht! All die tollen Sicherheitstools haben sie offenbar durchgelassen. Und ganz ohne dein Zutun ist das garantiert nicht passiert! Deshalb: Verstand einschalten!
Und wer sagt dir, dass nicht noch mehr da sind? Wenn 10 Termiten da waren, kann da möglicherweise noch eine 11. sein? Naaain.......
Was die Häuser angeht: Frag mal Hausbesitzer in gewissen Regionen Süditaliens. Manches sieht noch gut aus, is aber hinüber.
Aber warte halt auf Meinungen, die du hören willst.......

Und. Ja, ich habe von Car-Hifi keine Ahnung, die alten Regalboxen bringen nen super Sound und sehen neben Wackeldackel und Häkelklorolle auf der Hutablage echt geil aus!

derblöde, May 14, 2009

#16
deoroller Wandelndes Forum

>wenn ich das schön höre, bei jedem Problem heißt es Format c.

Das kommt aber erst, wenn schon andere Sachen nicht gegriffen haben.
Du bist jetzt schon seit einigen Tagen damit beschäftigt, den PC zu säubern und ein Ende ist nicht in Sicht. Mir ist es egal, wie lange es dauert. Mein PC ist sauber und bleibt es auch, weil ich ihn sicher eingerichtet habe und auch im Internet keine unabsehbare Risiken eingehe.
Das ist mit ein paar Scannern nicht zu schaffen. Dazu muss man ein Konzept einhalten, das aus mehreren, gleich wichtigen Teilen besteht.
http://www.malte-wetz.de/index.php?viewPage=sec-compromise.html

deoroller, May 14, 2009

#17
Jagger192 Byte

derblöde said: ↑

Du hast Alles getan, was möglich ist?
Click to expand...

Ja alles getan was für mich möglich ist,weilich nicht mehr weiß, deswegen bin ich hier, und mich halt frage warum die antworten so unterschiedlich sind.
Und ja du hast natürlich recht das es ein sicherheits problem auf meinem Rechner gibt, aber was in tausend Namen bringt es mir ein Format c zu machen und dann den gleichen Fehler noch mal zu machen???
Wenn mir hier ein Format c gesagt wird weil es nicht anders geht dann ist das ok, aber dann bitte mit einem Link wie der von deoroller den ich mir aber erst noch durchlesen muss.
Und nicht einen Link wie der von dir wie schlimm das alles ist, und ich das System neu aufspielen soll, damit das Problem wieder von vorne los geht.
Auf solche beiträge kann ich verzichten, die bringen mir nichts außer Arbeit.

Also gibt es noch eine Möglichkeit die Viren zu entfernen ohne Format c?

Jagger192, May 15, 2009

#18
derblöde Megabyte

Du hast 2 Links bekommen, deren Inhalt dir offensichtlich nicht gefällt.

Die Schädlinge sind durch dein Fehlverhalten auf deinen Rechner gelangt!
Um zu vermeiden, dass sich das wiederholt, gibt es nur einen Weg: Denke nach und ändere dein Verhalten! Dabei kann dir Deos Link behilflich sein, die Ursachen zu erkennen.

Und vergleiche Schädlinge mit dem Herpes-Virus: Auch wenn scheinbar keiner mehr da ist, kann die Krankheit jederzeit wieder ausbrechen.
Deinen PC darfst du "straffrei" killen und ein neues Leben beginnen. Ob du gesund bleibst, liegt ausschliesslich an dir. Naja, jedenfalls solange du dich nicht mit Schäuble & Co. anlegst....

derblöde, May 15, 2009

#19
neppo1 Halbes Gigabyte

http://brain.yubb.de/

neppo1, May 15, 2009

#20

(You must log in or sign up to reply here.)

Page 1 of 2

Thread Status:: Not open for further replies.

Share This Page