Forum
Tipps
News
Menu-Icon

Internet geht nicht mehr, google öffnet sich nicht :(

Rechner neu starten

Einträge bei www.Virustotal.com hochladen

C:\WINDOWS\system32\advhost.exe
C:\WINDOWS\system32\studnet\studnet.exe
C:\WINDOWS\system32\adlaunch32.dll

würde hier statt zu reinigen eher neuinstalieren,auch wenn dies nicht gerne gelesen wird.Aufgrund der vorschädigung und die unbekannten änderungen ist ein reinigen hier sinnfrei.Aber das werden bestimmte leute nie einsehen.

Und du wirst immer zu Formatieren neigen
Warum sollen wir uns deine Theorie aufschwätzen lassen
Du siehst ja auch nicht gerne wenn wir reinigen

Jeder 2te Post von dir handelt von Formatieren
was gibt dir den Grund dazu
Was siehst du in der Logfile was ich nicht sehe

Wie gesagt W,dein Formatierungstipp bei meinen Thread war auch unsinnig :)

So habe jetzt auf virustotal.überprüft, hier der Thread:

Datei advhost.exe empfangen 2009.03.14 17:51:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/39 (7.7%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
 Email: 
 

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.14 -
AhnLab-V3 5.0.0.2 2009.03.13 -
AntiVir 7.9.0.114 2009.03.13 -
Authentium 5.1.0.4 2009.03.14 -
Avast 4.8.1335.0 2009.03.13 -
AVG 8.0.0.237 2009.03.14 -
BitDefender 7.2 2009.03.14 -
CAT-QuickHeal 10.00 2009.03.14 -
ClamAV 0.94.1 2009.03.14 -
Comodo 1056 2009.03.14 -
DrWeb 4.44.0.09170 2009.03.14 -
eSafe 7.0.17.0 2009.03.12 Suspicious File
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.13 -
F-Secure 8.0.14470.0 2009.03.14 -
Fortinet 3.117.0.0 2009.03.14 -
GData 19 2009.03.14 -
Ikarus T3.1.1.45.0 2009.03.14 -
K7AntiVirus 7.10.671 2009.03.14 -
Kaspersky 7.0.0.125 2009.03.14 -
McAfee 5552 2009.03.13 -
McAfee+Artemis 5552 2009.03.13 -
McAfee-GW-Edition 6.7.6 2009.03.13 -
Microsoft 1.4405 2009.03.14 -
NOD32 3935 2009.03.13 -
Norman 6.00.06 2009.03.13 -
nProtect 2009.1.8.0 2009.03.14 -
Panda 10.0.0.10 2009.03.14 -
PCTools 4.4.2.0 2009.03.14 -
Prevx1 V2 2009.03.14 -
Rising 21.20.52.00 2009.03.14 -
Sophos 4.39.0 2009.03.14 -
Sunbelt 3.2.1858.2 2009.03.13 -
Symantec 1.4.4.12 2009.03.14 -
TheHacker 6.3.3.0.281 2009.03.13 -
TrendMicro 8.700.0.1004 2009.03.13 PAK_Generic.001
VBA32 3.12.10.1 2009.03.14 suspected of Win32.BrokenEmbeddedSignature  (paranoid heuristics)
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.6.5.0 2009.03.14 -
weitere Informationen
File size: 101912 bytes
MD5...: 3974666bafe7b612ab05fc5cd31a8b08
SHA1..: d410ec7450139837b0ad4a41d0e900df13146f80
SHA256: 70c6c51f64946ac00d5a13b80daf8b88661e251316d09546fac94fe03e243e34
SHA512: 71aaa65f76c367d05dad06a6837c0669946f531ba99440390ee0f461e941dae6
7a2ce6024090b63ee52cb85f42778511df7c39d273f22f464df8c61c464127d6
ssdeep: 1536:9VspgBLoT6afiddxH5p4f0S1sgKQd9Qa0xU0lrfoj8JB9TBIlaBiQvpMRhC
SD2rY:opvpanxf4fPsgKqCUe0j8lTdwWKRhNc
 
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xe2c50
timedatestamp.....: 0x49b6ad55 (Tue Mar 10 18:11:33 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xcb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xcc000 0x17000 0x17000 7.92 9bca4d691a641bf68555f0cb2ba3aeb6
.rsrc 0xe3000 0x2000 0x1600 4.24 c712d6786680cd48191615ec42a9f3ea

( 14 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegFlushKey
> COMCTL32.dll: ImageList_Draw
> GDI32.dll: BitBlt
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: -
> SHLWAPI.dll: UrlEscapeW
> urlmon.dll: URLDownloadToFileW
> USER32.dll: GetDC
> USERENV.dll: UnloadUserProfile
> WININET.dll: InternetOpenW
> WS2_32.dll: -

( 0 exports )
 
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
 

@larusso:
Falls es noch nicht auffiel,das system hatte bereits besuch,darüber sagt der TO aber nur sehr wenig.Ebenso kennen wir die genaue vorschädigung des systemes nicht.
Ich weis leider nicht,woher die weisheit kommt,man könne systeme reinigen.Ein system,das kompromitiert wurde,kann man nicht reinigen.Aber du kennst jedes schadpogramm auswendig,ebenso weist du,welches pogramm welche änderung vornimmt.Desweiteren weist du genau,auf welchen seiten die programierer der schadpogramme sich über gegenmaßnahmen informieren.Dein vorgehen hat leider einen gravierenden fehler:
Die untersuchungen werden zur laufzeit des schadpogramme durchgeführt.Eine untersuchung von einem sauberen system wird nicht mal ansatzweise empfohlen.Warum nur nicht? Das diese angebelichen suchpogramme etwas übersehen könnten,ist sicher bekannt,oder?


Eine garantie,das keinerlei reste zurückblieben,ist nicht gegeben.
Ich würde leute Wie Dich nicht an meine rechner zum reinigen lassen,außer Du hast eine gute versicherung gegen regressansprüche.
wie aktuelle malware vorgeht,setze ich als bekannt voraus.Ebenso,warum sie ins system gelangte und sich festsetzen konnte.Jedoch wird hier immer nur gereinigt,abner keinerlei präventiven maßnahmen ergriffen.Warum nur?

Mal eine einfache rechenaufgabe für Dich:
Jede stunde reinigen zu 15 euro,bei 4 stunden ist das eine nette summe.Eine neuinstalation ist da deutlich schneller.Desweiteren ist es nicht mein probblem,wenn nutzer kein image haben.Es sollte sich herumgesprochen haben,das man sowas anfertigen und aktuell halten soll.

W

Wann kapierst du es entlich

Es ist möglich ein System zu reinigen auch wenn sich immer gewisse Risiken dahinter verbergen
Wir versuchen unser bestmögliches und auf den Stand der Technik ein System wieder Sauber zu bekommen aber das es DIR zu Riskant ist mag schon sein

Vl redest du nicht immer nur daher sondern beschäftigst dich mal ein wenig mehr mit den Reinigungsarbeiten und wie man so vorgeht

Es gibt sicher Leute die mehr wissen wie ich und das wird auch immer so sein aber nichts wissen und mitreden  ::)

Zitat
.Aber du kennst jedes schadpogramm auswendig,
Ich verwende auch ur Tools deren Wirkung ich auch kenne und auch weis was sie suchen!!!!

Zitat
.Ein system,das kompromitiert wurde,kann man nicht reinigen
Ja du wahrscheinlich nicht
Zitat
Die untersuchungen werden zur laufzeit des schadpogramme durchgeführt.Eine untersuchung von einem sauberen system wird nicht mal ansatzweise empfohlen.
Warum sollten wir?
Das übernimmst doch du

PS:keine Diskusion mehr in den Threads
Jeder sieht dies ein wenig anders und auf Format C kommt jeder User wahrscheinlich selber drauf oder denkste nicht
Ob es jedes mal notwendig ist,das ist ne Andere Frage

Und nur ein Image spielen ist ab und zu auch zu wenig
Da kann dann allein die Plattenreinigung 24h dauern
 

Hallo

Mir fehlen noch die anderen Beiden Einträge ;)

Datei studnet.exe empfangen 2009.03.14 22:30:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 50 und 72 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
 Email: 
 

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.14 -
AhnLab-V3 5.0.0.2 2009.03.13 -
AntiVir 7.9.0.114 2009.03.13 -
Authentium 5.1.0.4 2009.03.14 -
Avast 4.8.1335.0 2009.03.14 -
AVG 8.0.0.237 2009.03.14 -
BitDefender 7.2 2009.03.14 -
CAT-QuickHeal 10.00 2009.03.14 -
ClamAV 0.94.1 2009.03.14 -
Comodo 1056 2009.03.14 -
DrWeb 4.44.0.09170 2009.03.14 -
eSafe 7.0.17.0 2009.03.12 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.14 -
F-Secure 8.0.14470.0 2009.03.14 -
Fortinet 3.117.0.0 2009.03.14 -
GData 19 2009.03.14 -
Ikarus T3.1.1.45.0 2009.03.14 -
K7AntiVirus 7.10.671 2009.03.14 -
Kaspersky 7.0.0.125 2009.03.14 -
McAfee 5553 2009.03.14 -
McAfee+Artemis 5553 2009.03.14 -
McAfee-GW-Edition 6.7.6 2009.03.13 -
Microsoft 1.4405 2009.03.14 -
NOD32 3935 2009.03.13 -
Norman 6.00.06 2009.03.13 -
nProtect 2009.1.8.0 2009.03.14 -
Panda 10.0.0.10 2009.03.14 -
PCTools 4.4.2.0 2009.03.14 -
Prevx1 V2 2009.03.14 -
Rising 21.20.52.00 2009.03.14 -
Sophos 4.39.0 2009.03.14 -
Sunbelt 3.2.1858.2 2009.03.13 -
Symantec 1.4.4.12 2009.03.14 -
TheHacker 6.3.3.0.282 2009.03.14 -
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.14 -
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.6.5.0 2009.03.14 -
weitere Informationen
File size: 245760 bytes
MD5...: af13bbd17a8692ed3594b3571365d499
SHA1..: 291d81920ef3754e4b70c657878a61de45574ba6
SHA256: 0d43712b198759c8841d925c3963a6e6c50f16f378c77a1e500af63289d2b633
SHA512: d188a4fa4895fe1be344b481bd7b6c6bffcf95000c00ea817506fa662a8abaa5
b252d4ebed269f3132a84984865a3f1234814386de6f3f415e4234cd66e36d32
ssdeep: 3072:bcUZO819QFCVDbES8kG815+xtg7ciuNVmJ6GGo1p/U3b:zZO819QFCVDbES
8kGWgQG+p/
 
PEiD..: -
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1880
timedatestamp.....: 0x46fa7789 (Wed Sep 26 15:15:21 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x364fc 0x37000 5.90 4f776428a36a0115183703c9a6ce43d6
.data 0x38000 0x2ab0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x3b000 0x2c8e 0x3000 3.03 b083ac1c65c21c59163db33b8341a66a

( 1 imports )
> MSVBVM60.DLL: -, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLateIdCall, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaResume, __vbaStrCat, __vbaError, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, -, -, _adj_fdiv_m32, -, __vbaVarForInit, __vbaExitProc, -, __vbaOnError, __vbaObjSet, -, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaFpR8, __vbaBoolVarNull, _CIsin, __vbaVargVarMove, -, __vbaChkstk, -, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, __vbaDateR8, __vbaI2I4, DllFunctionCall, -, __vbaVarLateMemSt, _adj_fpatan, __vbaFixstrConstruct, __vbaLateIdCallLd, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, __vbaI2Str, -, __vbaFPException, __vbaStrVarVal, __vbaVarCat, -, __vbaDateVar, __vbaI2Var, -, _CIlog, __vbaErrorOverflow, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, __vbaVarNot, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, __vbaVarCmpEq, -, __vbaVarAdd, __vbaVarDup, -, __vbaStrToAnsi, __vbaFpI2, -, __vbaVarCopy, __vbaVarLateMemCallLd, -, _CIatan, __vbaStrMove, -, _allmul, __vbaLateIdSt, _CItan, __vbaFPInt, __vbaVarForNext, _CIexp, __vbaFreeObj, __vbaFreeStr

( 0 exports )
 
 

Datei adlaunch32.dll empfangen 2009.03.14 22:34:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/39 (2.57%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
 Email: 
 

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.14 -
AhnLab-V3 5.0.0.2 2009.03.13 -
AntiVir 7.9.0.114 2009.03.13 -
Authentium 5.1.0.4 2009.03.14 -
Avast 4.8.1335.0 2009.03.14 -
AVG 8.0.0.237 2009.03.14 -
BitDefender 7.2 2009.03.14 -
CAT-QuickHeal 10.00 2009.03.14 -
ClamAV 0.94.1 2009.03.14 -
Comodo 1056 2009.03.14 -
DrWeb 4.44.0.09170 2009.03.14 -
eSafe 7.0.17.0 2009.03.12 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.14 -
F-Secure 8.0.14470.0 2009.03.14 -
Fortinet 3.117.0.0 2009.03.14 -
GData 19 2009.03.14 -
Ikarus T3.1.1.45.0 2009.03.14 -
K7AntiVirus 7.10.671 2009.03.14 -
Kaspersky 7.0.0.125 2009.03.14 -
McAfee 5553 2009.03.14 -
McAfee+Artemis 5553 2009.03.14 -
McAfee-GW-Edition 6.7.6 2009.03.13 -
Microsoft 1.4405 2009.03.14 -
NOD32 3935 2009.03.13 -
Norman 6.00.06 2009.03.13 -
nProtect 2009.1.8.0 2009.03.14 -
Panda 10.0.0.10 2009.03.14 -
PCTools 4.4.2.0 2009.03.14 -
Prevx1 V2 2009.03.14 -
Rising 21.20.52.00 2009.03.14 -
Sophos 4.39.0 2009.03.14 -
Sunbelt 3.2.1858.2 2009.03.13 -
Symantec 1.4.4.12 2009.03.14 -
TheHacker 6.3.3.0.282 2009.03.14 -
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.14 suspected of Win32.BrokenEmbeddedSignature  (paranoid heuristics)
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.6.5.0 2009.03.14 -
weitere Informationen
File size: 66592 bytes
MD5...: 91c70cd1750ebcfbb3f6a828cdcf3040
SHA1..: 49564debb6d954590010552e9b3ba55fdbf010ee
SHA256: c22f68374776b6b1ecf7e1929b51320d0d020a4468c415dca3b533db84db89f9
SHA512: b2dfe15c6cdb9c06eb5497f6f01bae65cecf0b3a49e5f12e116242c754cfccbf
ad115398b0655e977a4d8e909d116c0a823f3f92c95f39fdf22d3aa40e3d24d8
ssdeep: 768:kHk1QAca+W+3/6ccIUEAxd3uK9yCk6B0+/kw98A6KPV/OulN+azlxVym:iLz
PHRUEcYCk1+/kwOAzPEulNNlxVym
 
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2e13
timedatestamp.....: 0x49b6ad4b (Tue Mar 10 18:11:23 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7b2a 0x8000 6.46 0d2db69b18835dc92303bf52fe9e1ab7
.rdata 0x9000 0x20f2 0x3000 3.84 cd38ff408882edd683043bf9ad75411d
.data 0xc000 0x2544 0x1000 1.77 9411bc2ef595295fd709ca0354d01ea2
ad_share 0xf000 0x628 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.reloc 0x10000 0x12b0 0x2000 2.67 88c6ed4b02a7b41f250cd35e68e969ed

( 6 imports )
> KERNEL32.dll: CloseHandle, OpenMutexW, TerminateThread, MultiByteToWideChar, Sleep, SetThreadPriority, CreateThread, DisableThreadLibraryCalls, RaiseException, InitializeCriticalSection, DeleteCriticalSection, SizeofResource, LockResource, LoadResource, FindResourceW, FindResourceExW, GetVersionExW, GetProcAddress, GetCurrentProcess, GetModuleHandleExW, GetLastError, GetPrivateProfileStringW, GetModuleHandleW, FlushFileBuffers, GetSystemInfo, VirtualProtect, GetStringTypeW, GetStringTypeA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, LCMapStringW, LCMapStringA, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadReadPtr, LoadLibraryA, SetFilePointer, WriteFile, UnhandledExceptionFilter, GetEnvironmentStringsW, SetStdHandle, GetVersionExA, EnterCriticalSection, LeaveCriticalSection, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, ExitProcess, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, SetUnhandledExceptionFilter, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, TerminateProcess, VirtualQuery, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte
> USER32.dll: RegisterWindowMessageW, FindWindowW, SetWindowsHookExW, SendMessageW, UnhookWindowsHookEx, CallNextHookEx, GetDesktopWindow
> ADVAPI32.dll: OpenProcessToken, GetTokenInformation
> SHELL32.dll: SHGetFolderPathW, ShellExecuteExW, ShellExecuteW
> OLEAUT32.dll: -, -
> SHLWAPI.dll: PathAppendW

( 4 exports )
DllCanUnloadNow, DllGetAdvTimestamp, DllRunNonElevated, DllStopThread
 
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=91c70cd1750ebcfbb3f6a828cdcf3040' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=91c70cd1750ebcfbb3f6a828cdcf3040</a>
 

Ganz seltsame Datein :)

Lade dir ComboFix von BleepingComputer.com
Speicher es auf deinem Desktop
Sollte dein AntVir Programm anschlagen bitte ignorieren
Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen
Schließe alle offenen Programme und Browser
Deaktivier dein AntiVir Programm

Starte nun combofix.exe
Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen
Es öffnet sich ein blaues Fenster
Schreibe 1-->enter
Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen
der Scan folgt
Das log wird unter combofix.txt erscheinen
Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen
AntiVir Programm wieder Aktivieren nicht vergessen

ComboFix 09-03-13.02 - Constantin 2009-03-14 23:03:50.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.894.389 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Constantin\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: ZoneAlarm Security Suite Antivirus *On-access scanning enabled* (Outdated)
FW: ZoneAlarm Security Suite Firewall *enabled*
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\cdfhNXyb.ini
c:\windows\system32\cdfhNXyb.ini2
c:\windows\system32\IiOWxGgh.ini
c:\windows\system32\IiOWxGgh.ini2
c:\windows\system32\ixhrueqs.ini
c:\windows\system32\kaqvixpy.ini
c:\windows\system32\qnyqypwc.ini
c:\windows\system32\Vvuxaccf.ini
c:\windows\system32\Vvuxaccf.ini2
c:\windows\system32\wkryfyqg.ini
c:\windows\Tasks\uqcohbyt.job

----- BITS: Eventuell infizierte Webseiten -----

hxxp://139.18.143.201
.
(((((((((((((((((((((((   Dateien erstellt von 2009-02-14 bis 2009-03-14  ))))))))))))))))))))))))))))))
.

2009-03-14 21:01 . 2009-03-14 21:01   230   --a------   c:\windows\system32\spupdsvc.inf
2009-03-14 15:38 . 2009-03-14 15:38   <DIR>   d--------   c:\programme\Trend Micro
2009-03-14 07:55 . 2009-03-14 07:55   <DIR>   d--------   c:\programme\Malwarebytes' Anti-Malware
2009-03-14 07:55 . 2009-03-14 07:55   <DIR>   d--------   c:\dokumente und einstellungen\Constantin\Anwendungsdaten\Malwarebytes
2009-03-14 07:55 . 2009-03-14 07:55   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-14 07:55 . 2009-02-11 10:19   38,496   --a------   c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-14 07:55 . 2009-02-11 10:19   15,504   --a------   c:\windows\system32\drivers\mbam.sys
2009-03-14 04:25 . 2009-03-14 04:25   101,912   --a------   c:\windows\system32\advhost.exe
2009-03-14 04:25 . 2009-03-14 04:25   66,592   --a------   c:\windows\system32\adlaunch32.dll
2009-02-17 21:47 . 2009-02-17 21:49   <DIR>   d--------   c:\dokumente und einstellungen\Constantin\Anwendungsdaten\vlc

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 21:56   ---------   d-----w   c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-03-14 21:54   ---------   d-----w   c:\programme\Steam
2009-03-14 16:08   684,916   ----a-w   c:\windows\unins000.exe
2009-03-14 06:10   ---------   d-----w   c:\programme\ATI Technologies
2009-03-11 23:36   ---------   d-----w   c:\dokumente und einstellungen\All Users\Anwendungsdaten\WhiteCap (Holiday Edition)
2009-03-11 21:14   ---------   d-----w   c:\programme\TuneUp Utilities 2009
2009-03-10 15:41   ---------   d-----w   c:\programme\ICQ6.5
2009-02-09 01:18   ---------   d-----w   c:\programme\Gemeinsame Dateien\Steinberg
2009-02-09 01:18   ---------   d-----w   c:\dokumente und einstellungen\Constantin\Anwendungsdaten\Steinberg
2009-01-31 11:28   ---------   d-----w   c:\programme\KORG
2009-01-31 11:26   ---------   d-----w   c:\programme\Gemeinsame Dateien\Digidesign
2009-01-31 11:25   ---------   d-----w   c:\programme\Gemeinsame Dateien\KORG
2009-01-26 13:15   ---------   d--h--w   c:\programme\InstallShield Installation Information
2009-01-26 10:45   ---------   d-----w   c:\programme\CheckPoint
2009-01-25 23:49   ---------   d-----w   c:\dokumente und einstellungen\Constantin\Anwendungsdaten\CheckPoint
2009-01-25 14:45   ---------   d-----w   c:\programme\%systemdir%
2009-01-24 20:20   ---------   d-----w   c:\programme\AxBx
2009-01-24 13:16   ---------   d-sh--w   c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-11-01 185872]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"VTTimer"="VTTimer.exe" [2006-09-21 c:\windows\system32\VTTimer.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\adlaunch32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Steam\\steamapps\\violator_111\\counter-strike\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\violator_111\\day of defeat\\hl.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [2008-04-20 108768]
R2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe -k netsvcs [2006-02-28 14336]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-24 603904]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2007-12-09 180480]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [2008-04-09 634880]
S3 73e48997-4efb-4227-8f60-011e437e0f85;73e48997-4efb-4227-8f60-011e437e0f85;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [2008-11-28 16512]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2008-04-20 1527900]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-03-14 38496]
S3 PAC7302;Eye 312;c:\windows\system32\drivers\PAC7302.SYS [2008-09-29 457856]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2008-04-20 544768]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2009-03-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-qoMdEwUK - qoMdEwUK.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.explorerstartpage.com/wspage.php
TCP: {C50FDF07-F1EB-4CD2-AE6B-7619E7727B9B} = 139.18.25.3
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 23:09:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\advhost.exe
c:\windows\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 23:14:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-03-14 22:14:08

Vor Suchlauf: 21 Verzeichnis(se), 16.729.583.616 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 17,149,440,000 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

159
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Klicke : Start -> Ausführen -> Combofix /U

Folgende Datei bitte an Avira schicken zur Analyse:

c:\windows\system32\adlaunch32.dll

http://analysis.avira.com/samples/index.php

Antwort dann posten!!

Mache nun hiermit weiter:

Lade dir A-squared free , installieren, update, PC scannen-->Detail Scan --> SCAN
Funde löschen lassen, Report posten.
Bei a-squared Newsletter Meldung drücke auf abbrechen, wenn du das nicht haben willst.

 

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID  Dateiname Größe (Byte) Ergebnis
25288419  adlaunch32.dll  65.03 KB  UNDER ANALYSIS


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

 Dateiname Ergebnis
 adlaunch32.dll  UNDER ANALYSIS

Die Datei 'adlaunch32.dll' wurde als 'UNDER ANALYSIS' eingestuft.
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das musstest du nicht posten  ;D

Innerhalb der nexten woche wirst du nochmal ne Mail von Avira bekommen, wo genaueres geschrieben wird. Das postest du dann.


« Sicherheitsprüfung - kennt das jemand?mein antivieren program Kaspersky Security Suite CBE »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...