Bedrohung vorhanden ?

Nordtiroler · 11.05.2006, 08:44

Hallo Leute!

Könnt ihr euch bitte mal die 2 Logfiles von escan und HijackThis für mich anschauen und analisieren.
Habe gestern per Zufall mittels Norton 2 Dialer (Dialer.Intexus, Dialer.Stardial) gefunden in -> „grillrezepte.exe“. Da hat meine Freundin gepfuscht und nicht per eingeschränktes Konto gesurft.
wie das passiert ist, ist mir immer noch ein Rätsel
Mittels Norton habe ich den Intexus entfernen können (manuelle Löschung lt. Norton) – den Stardial konnte er anscheinend nicht. (Laut Norton „Löschung fehlgeschlagen“) Im abgesicherten Modus findet Spybot, Ad-Aware und Norton aber nix mehr.

Das Problem mit den „Stardial“ hatte schon jemand mal gepostet – Thread wurde aber nicht mehr weitergeführt. bzw. darauf geantwortet)

Daher wollte ich mittels HijackThis und Escan nochmals sichergehen und das ganze System überprüfen.

Zur Info: Unter meinem Laufwerk „J“ -> reines backup - Bedrohungen aus der Quarantäne löschen ?

Escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 10 17:01:48 2006 => System found infected with ezula Spyware/Adware (sed.exe)! Action taken: No Action Taken.
Wed May 10 17:01:48 2006 => System found infected with whenu/clocksync Spyware/Adware (sync.exe)! Action taken: No Action Taken.
Wed May 10 17:01:54 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Wed May 10 17:34:30 2006 => System found infected with ezula Spyware/Adware (sed.exe)! Action taken: No Action Taken.
Wed May 10 17:34:31 2006 => System found infected with whenu/clocksync Spyware/Adware (sync.exe)! Action taken: No Action Taken.
Wed May 10 17:34:32 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Wed May 10 19:30:15 2006 => File J:\___Backup C\Programme\Norton AntiVirus\Quarantine\0B1C6FF5 infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
Wed May 10 19:30:15 2006 => File J:\___Backup C\Programme\Norton AntiVirus\Quarantine\0B9D4D37 infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
Wed May 10 19:30:15 2006 => File J:\___Backup C\Programme\Norton AntiVirus\Quarantine\0BA17733 infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
Wed May 10 19:30:15 2006 => File J:\___Backup C\Programme\Norton AntiVirus\Quarantine\0EBA499A.class infected by "Trojan-Dropper.Java.Small.c" Virus! Action Taken: No Action Taken.
Wed May 10 19:30:15 2006 => File J:\___Backup C\Programme\Norton AntiVirus\Quarantine\14764FC7 infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
Wed May 10 19:30:16 2006 => File J:\___Backup C\Programme\Norton AntiVirus\Quarantine\4ABF1039.class infected by "Exploit.Java.ByteVerify" Virus! Action Taken: No Action Taken.
Wed May 10 19:30:16 2006 => File J:\___Backup C\Programme\Norton AntiVirus\Quarantine\664F6D21 infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed May 10 17:01:48 2006 => Offending file found: C:\WINDOWS\system32\sed.exe
Wed May 10 17:01:48 2006 => Offending file found: C:\WINDOWS\system32\sync.exe
Wed May 10 17:01:54 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\outlook logging\firstrun.log
Wed May 10 17:34:30 2006 => Offending file found: C:\WINDOWS\system32\sed.exe
Wed May 10 17:34:31 2006 => Offending file found: C:\WINDOWS\system32\sync.exe
Wed May 10 17:34:32 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\outlook logging\firstrun.log
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Wed May 10 18:10:56 2006 => File C:\Programme\BitTorrent\uninstall.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Wed May 10 18:28:07 2006 => File C:\Programme\Norton AntiVirus\Quarantine\61A575EE tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
Wed May 10 18:30:12 2006 => File C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Wed May 10 18:34:39 2006 => File C:\RECYCLER\S-1-5-21-436374069-1123561945-682003330-1006\Dc1.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Wed May 10 18:46:28 2006 => File C:\WINDOWS\system32\CMDOW.EXE tagged as not-a-virus:RiskTool.Win32.HideWindows. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 10 17:31:25 2006 => Total Errors: 7
Wed May 10 19:55:48 2006 => Total Errors: 203
Wed May 10 17:31:25 2006 => Time Elapsed: 00:29:43
Wed May 10 19:55:48 2006 => Time Elapsed: 02:21:32
Wed May 10 17:31:25 2006 => Total Objects Scanned: 32950
Wed May 10 19:55:48 2006 => Total Objects Scanned: 129550
Wed May 10 16:48:27 2006 => Virus Database Date: 5/4/2006
Wed May 10 16:59:57 2006 => Virus Database Date: 5/4/2006
Wed May 10 17:31:25 2006 => Virus Database Date: 5/4/2006
Wed May 10 17:32:05 2006 => Virus Database Date: 5/4/2006
Wed May 10 19:55:48 2006 => Virus Database Date: 5/4/2006
Wed May 10 22:50:17 2006 => Virus Database Date: 5/4/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bases_X\MWAV.LOG

Logfile of HijackThis v1.99.1
Scan saved at 16:27:43, on 10.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Copy Handler\Copy Handler.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.****.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.***.at
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.***.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Copy handler] C:\Programme\Copy Handler\Copy Handler.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=051406 serial=dr12wex-1504397-kty lang=DE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=h**p://www.***.at
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Bitte um Info ob ihr was brisantes gefunden habt bzw. wie ich weiter vorgehen soll.

Vielen Dank im Voraus!

Grüße aus .at

N.

cosinus · 11.05.2006, 11:48

Dein Hijackthis-Logfile sieht m.E. nach sauber aus.
Aber beim Log von eScan sind mir merkwürdige Einträge ins Auge gestochen:

Zitat:

C:\WINDOWS\system32\sed.exe
C:\WINDOWS\system32\sync.exe
C:\WINDOWS\system32\CMDOW.EXE [tagged as not-a-virus:RiskTool.Win32.HideWindows]

Versuch diese Dateien mal ausfindig zu machen, denk dran, dass alle Dateien angezeigt werden müssen (versteckte und geschützte Systemdateien anzeigen lassen). Mach das am besten im abgesicherten Modus. Kopier diese drei Dateien z.B. auf dem Desktop und benenn die Erweiterungen der Kopien um, z.B. sed.exe in sed.vir usw.
Im normalen Modus dann diese umbenannten Kopien bei Jotti oder Virustotal prüfen lassen. Ergebnisse posten.
Mach mal am besten auch ein Check mit Blacklight. Während des Vorgangs nichts machen!

Nordtiroler · 11.05.2006, 12:17

Hallo Cosinus!

Vielen Danke erst mal für deine rasche und kompetente Hilfe.

Der Hijackthis-Logfile müsste auch lt. der Analyse auf Hijackthis.de in Ordnung sein - habe die Datei mal durch das Tool laufen lassen - obwohl das ja auch nciht 100 % ist.

Blacklight habe ich mal schnell laufen lassen im normalen Betrieb - nix gefuden.
Ich schätze die laufenden Prozeße zu posten macht keinen Sinn.

Ich werde mal jetzt im abgesichertem Modus alles nochmals durchführen.

Melde mich dann später.

Danke!

Grüße

N.

Nordtiroler · 11.05.2006, 12:40

So, die Ergebnisse von Virustotal:

omplete scanning result of "CMDOW.vir", received in VirusTotal at 05.11.2006, 13:32:10 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 no virus found
Avast 4.6.695.0 05.11.2006 no virus found
AVG 386 05.10.2006 no virus found
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.11.2006 no virus found
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 no virus found
Ewido 3.5 05.11.2006 no virus found
Fortinet 2.76.0.0 05.11.2006 HackerTool/HideWindows
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.10.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 not-a-virus:RiskTool.Win32.HideWindows
McAfee 4759 05.10.2006 no virus found
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 no virus found
Norman 5.90.17 05.11.2006 no virus found
Panda 9.0.0.4 05.10.2006 no virus found
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 Aplicacion/HideWindows
UNA 1.83 05.10.2006 no virus found
VBA32 3.11.0 05.10.2006 no virus found

Aditional Information
File size: 31232 bytes
MD5: a83d8a509ad167ea506a01fa75a33084
SHA1: 80d299bbf72a55e580d27840b1e3fd5cadfd5c70

Complete scanning result of "SED.vir", received in VirusTotal at 05.11.2006, 13:35:40 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 no virus found
Avast 4.6.695.0 05.11.2006 no virus found
AVG 386 05.10.2006 no virus found
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.11.2006 no virus found
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 no virus found
Ewido 3.5 05.11.2006 no virus found
Fortinet 2.76.0.0 05.11.2006 no virus found
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.10.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 no virus found
McAfee 4759 05.10.2006 no virus found
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 no virus found
Norman 5.90.17 05.11.2006 no virus found
Panda 9.0.0.4 05.10.2006 no virus found
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 no virus found
UNA 1.83 05.10.2006 no virus found
VBA32 3.11.0 05.10.2006 no virus found

Aditional Information
File size: 49152 bytes
MD5: 3a34d017aa4e5c11f2a329ab04da17f4
SHA1: c9b6d3da1c296d6827345367f866fcdf2154bb95

Complete scanning result of "SYNC.vir", received in VirusTotal at 05.11.2006, 13:36:53 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 no virus found
Avast 4.6.695.0 05.11.2006 no virus found
AVG 386 05.10.2006 no virus found
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.11.2006 no virus found
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 no virus found
Ewido 3.5 05.11.2006 no virus found
Fortinet 2.76.0.0 05.11.2006 no virus found
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.10.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 no virus found
McAfee 4759 05.10.2006 no virus found
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 no virus found
Norman 5.90.17 05.11.2006 no virus found
Panda 9.0.0.4 05.10.2006 no virus found
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 no virus found
UNA 1.83 05.10.2006 no virus found
VBA32 3.11.0 05.10.2006 no virus found

Aditional Information
File size: 19456 bytes
MD5: 1a030d4fa0372ad150c15a91f55c22c9
SHA1: 046ad123c8b6fb83900d15200c6c037ff0835ec8

Erledigt.

Schaut m. M. nicht so schlecht aus - oder?

Vielen Dank im Voraus!

Grüße

N.

cosinus · 11.05.2006, 12:47

Zitat:

Kaspersky 4.0.2.24 05.11.2006 not-a-virus:RiskTool.Win32.HideWindows

Die CMDOW.EXE ist kein Virus, aber ein Tool, um Fenster zu verstecken. Wird benutzt um Schädlinge zu verbergen. Oder hast Du das Tool bewusst installiert?
Erstell mal die vier Logs mit datfind.bat und poste sie.

Nordtiroler · 11.05.2006, 13:29

Diel letzten Monate:

Verzeichnis von C:\WINDOWS\system32

10.05.2006 14:20 2.206 wpa.dbl
04.05.2006 06:26 5.818.784 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 15:27 397.682 perfh009.dat
26.03.2006 15:27 60.956 perfc009.dat
26.03.2006 15:27 73.530 perfc007.dat
26.03.2006 15:27 412.186 perfh007.dat
26.03.2006 15:27 956.572 PerfStringBackup.INI
24.03.2006 06:37 49.152 wdigest.dll
23.03.2006 22:34 3.074.560 mshtml.dll
23.03.2006 19:18 176.167 rmoc3260.dll
23.03.2006 19:18 5.632 pndx5032.dll
23.03.2006 19:18 6.656 pndx5016.dll
23.03.2006 19:18 278.528 pncrt.dll
21.03.2006 22:13 7.006 jupdate-1.5.0_06-b05.log
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
06.03.2006 08:41 550.120 LegitCheckControl.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll
19.02.2006 17:47 22 ati64hlp.stb
14.02.2006 13:10 91.904 S32EVNT1.DLL
02.02.2006 04:43 247.104 FNTCACHE.DAT
02.02.2006 00:32 16.832 amcompat.tlb
02.02.2006 00:32 23.392 nscompat.tlb
01.02.2006 23:06 1.893 $winnt$.inf
01.02.2006 23:04 2.951 CONFIG.NT
01.02.2006 23:03 488 WindowsLogon.manifest
01.02.2006 23:03 488 logonui.exe.manifest
01.02.2006 23:03 749 nwc.cpl.manifest
01.02.2006 23:03 749 sapi.cpl.manifest
01.02.2006 23:03 749 ncpa.cpl.manifest
01.02.2006 23:03 749 wuaucpl.cpl.manifest
01.02.2006 23:03 749 cdplayer.exe.manifest
01.02.2006 23:01 21.740 emptyregdb.dat
01.02.2006 22:59 0 h323log.txt
04.01.2006 05:35 68.096 webclnt.dll
......

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

11.05.2006 14:02 512 ~DF2DD.tmp
11.05.2006 13:44 35.840 ~WRS0001.tmp
11.05.2006 13:42 147.456 ~WRF0000.tmp
11.05.2006 13:42 512 ~DF6A8.tmp
11.05.2006 13:42 512 ~DFE353.tmp
11.05.2006 13:39 21.779 jusched.log
11.05.2006 09:57 96 1147334251.atp
11.05.2006 09:57 947 1147334251.log
11.05.2006 09:57 226 1147334251.atd
11.05.2006 09:57 85 1147334241.atp
11.05.2006 09:57 937 1147334241.log
11.05.2006 09:57 221 1147334241.atd
11.05.2006 09:57 100 1147334231.atp
11.05.2006 09:57 967 1147334231.log
11.05.2006 09:57 236 1147334231.atd
11.05.2006 09:57 87 1147334226.atp
11.05.2006 09:57 941 1147334226.log
11.05.2006 09:57 223 1147334226.atd
11.05.2006 09:56 919 1147334219.log
11.05.2006 09:56 76 1147334219.atp
11.05.2006 09:56 212 1147334219.atd
11.05.2006 09:56 81 1147334213.atp
11.05.2006 09:56 929 1147334213.log
11.05.2006 09:56 217 1147334213.atd
11.05.2006 09:56 915 1147334192.log
11.05.2006 09:56 80 1147334192.atp
11.05.2006 09:56 210 1147334192.atd
11.05.2006 09:56 1.155 1147334149.log
11.05.2006 09:56 81 1147334149.atp
11.05.2006 09:55 211 1147334149.atd
11.05.2006 09:55 75 1147334144.atp
11.05.2006 09:55 905 1147334144.log
11.05.2006 09:55 205 1147334144.atd
11.05.2006 09:55 915 1147334134.log
11.05.2006 09:55 80 1147334134.atp
11.05.2006 09:55 210 1147334134.atd
11.05.2006 09:55 911 1147334129.log
11.05.2006 09:55 78 1147334129.atp
11.05.2006 09:55 208 1147334129.atd
11.05.2006 09:55 81 1147334116.atp
11.05.2006 09:55 859 1147334116.log
11.05.2006 09:55 211 1147334116.atd
11.05.2006 09:55 75 1147334102.atp
11.05.2006 09:55 905 1147334102.log
11.05.2006 09:55 205 1147334102.atd
11.05.2006 09:54 77 1147334092.atp
11.05.2006 09:54 911 1147334092.log
11.05.2006 09:54 207 1147334092.atd
11.05.2006 09:54 947 1147334079.log
11.05.2006 09:54 96 1147334079.atp
11.05.2006 09:54 226 1147334079.atd
11.05.2006 01:07 798.234 IMT72.xml
11.05.2006 01:07 426 IMT71.xml
11.05.2006 01:07 2.036 IMT70.xml
11.05.2006 01:06 798.234 IMT6F.xml
11.05.2006 01:06 426 IMT6E.xml
11.05.2006 01:06 2.036 IMT6D.xml
11.05.2006 01:05 798.234 IMT6C.xml
11.05.2006 01:05 426 IMT6B.xml
11.05.2006 01:05 2.036 IMT6A.xml
11.05.2006 01:05 798.234 IMT69.xml
11.05.2006 01:05 426 IMT68.xml
11.05.2006 01:05 2.036 IMT67.xml
11.05.2006 01:04 798.234 IMT66.xml
11.05.2006 01:04 426 IMT65.xml
11.05.2006 01:04 2.036 IMT64.xml
11.05.2006 01:03 798.234 IMT63.xml
11.05.2006 01:03 426 IMT62.xml
11.05.2006 01:03 2.036 IMT61.xml
11.05.2006 01:03 798.234 IMT60.xml
11.05.2006 01:03 426 IMT5F.xml
11.05.2006 01:03 2.036 IMT5E.xml
11.05.2006 01:03 798.234 IMT5D.xml
11.05.2006 01:03 426 IMT5C.xml
11.05.2006 01:03 2.036 IMT5B.xml
11.05.2006 01:03 798.234 IMT5A.xml
11.05.2006 01:03 426 IMT59.xml
11.05.2006 01:03 2.036 IMT58.xml
11.05.2006 01:03 798.234 IMT57.xml
11.05.2006 01:03 426 IMT56.xml
11.05.2006 01:03 2.036 IMT55.xml
11.05.2006 01:03 798.234 IMT53.xml
11.05.2006 01:03 426 IMT52.xml
11.05.2006 01:03 2.036 IMT51.xml
11.05.2006 01:02 798.234 IMT41.xml
11.05.2006 01:02 426 IMT40.xml
11.05.2006 01:02 2.036 IMT3F.xml
11.05.2006 01:01 798.234 IMT24.xml
11.05.2006 01:01 426 IMT23.xml
11.05.2006 01:01 2.036 IMT22.xml
11.05.2006 01:01 798.234 IMT20.xml
11.05.2006 01:01 426 IMT1F.xml
11.05.2006 01:01 2.036 IMT1E.xml
11.05.2006 01:01 798.234 IMT1C.xml
11.05.2006 01:01 426 IMT1B.xml
11.05.2006 01:01 2.036 IMT1A.xml
11.05.2006 01:00 798.234 IMT14.xml
11.05.2006 01:00 426 IMT13.xml
11.05.2006 01:00 2.036 IMT12.xml
11.05.2006 00:55 798.234 IMT9A.xml
11.05.2006 00:55 426 IMT99.xml
11.05.2006 00:55 2.036 IMT98.xml
11.05.2006 00:55 798.234 IMT76.xml
11.05.2006 00:55 426 IMT75.xml
11.05.2006 00:55 2.036 IMT74.xml
11.05.2006 00:55 798.234 IMT73.xml
11.05.2006 00:48 798.234 IMT28.xml
11.05.2006 00:48 426 IMT27.xml
11.05.2006 00:48 2.036 IMT26.xml
11.05.2006 00:47 798.234 IMT25.xml
11.05.2006 00:47 798.234 IMT18.xml
11.05.2006 00:47 426 IMT17.xml
11.05.2006 00:47 2.036 IMT16.xml
11.05.2006 00:46 798.234 IMT15.xml
11.05.2006 00:45 426 IMT11.xml
11.05.2006 00:45 2.036 IMT10.xml
10.05.2006 16:43 2.432 MWAV.LOG
10.05.2006 16:43 572 mwXface.log
10.05.2006 16:43 241.664 MYDB.DLL
10.05.2006 14:12 283 wahtmltmp00.htm
10.05.2006 08:36 939 jupdate1.5.0.xml
08.05.2006 22:28 0 63y2E.tmp
07.05.2006 20:11 80 1147025470.atp
07.05.2006 20:11 911 1147025470.log
07.05.2006 20:11 206 1147025470.atd
07.05.2006 20:09 904 1147025394.log
07.05.2006 20:09 80 1147025394.atp
07.05.2006 20:09 199 1147025394.atd
07.05.2006 16:03 0 21b12.tmp
06.05.2006 11:46 0 plD.tmp
06.05.2006 11:46 0 plC.tmp
06.05.2006 11:45 0 plB.tmp
04.05.2006 22:23 7.864 java_install_reg.log
04.05.2006 12:09 14.184 avp.klb
04.05.2006 12:09 2.759 daily-ex.avc
04.05.2006 12:09 36.447 daily.avc
03.05.2006 17:02 157.198 spydb.avs
03.05.2006 11:26 81.369 virus016.avc
03.05.2006 11:26 18.288 unp033.avc
03.05.2006 11:26 47.844 ext003.avc
03.05.2006 11:26 68.364 unp010.avc
03.05.2006 11:26 48.001 ext002.avc
03.05.2006 11:26 51.779 troj011.avc
03.05.2006 11:26 49.982 base096.avc
03.05.2006 11:26 69.806 ca.avc
03.05.2006 11:26 48.743 base091.avc
03.05.2006 11:26 49.919 base069.avc
03.05.2006 11:26 49.006 base093.avc
30.04.2006 12:52 0 pl6.tmp
30.04.2006 11:58 0 pl3.tmp
29.04.2006 19:48 861 1146332906.log
29.04.2006 19:48 88 1146332906.atp
29.04.2006 19:48 195 1146332906.atd
29.04.2006 12:16 0 pl5.tmp
29.04.2006 12:15 23.730 fa.avc
29.04.2006 12:15 34.470 ext006.avc
29.04.2006 12:15 49.907 base089.avc
29.04.2006 12:15 19.443 base097.avc
29.04.2006 12:15 1.942 avp.set
28.04.2006 18:37 0 pl1A.tmp
28.04.2006 18:14 0 pl19.tmp
28.04.2006 16:53 0 pl14.tmp
28.04.2006 16:53 0 pl13.tmp
28.04.2006 16:53 0 pl12.tmp
28.04.2006 16:48 0 pl11.tmp
28.04.2006 16:46 0 pl10.tmp
28.04.2006 13:53 74.136 virus007.avc
28.04.2006 13:53 49.409 base057.avc
28.04.2006 13:53 50.644 base081.avc
28.04.2006 13:53 48.966 base080.avc
28.04.2006 13:53 50.064 base056.avc
28.04.2006 13:53 43.426 base055.avc
26.04.2006 12:45 13.832 German.con
26.04.2006 12:44 58.154 German.Age
25.04.2006 13:24 50.826 unp001.avc
25.04.2006 13:24 48.507 base090.avc
25.04.2006 06:05 409.600 viewtcp.exe
24.04.2006 15:10 36.532 virus020.avc
24.04.2006 15:10 79.267 virus017.avc
24.04.2006 15:10 46.590 unp025.avc
24.04.2006 15:10 33.283 unp024.avc
24.04.2006 15:10 57.728 unp005.avc
23.04.2006 14:30 352.256 esupdate.exe
23.04.2006 14:10 122.880 msvlclnt.dll
23.04.2006 14:09 370.240 mexe.com
23.04.2006 14:09 370.240 mwavscan.com
23.04.2006 14:07 32.782 krnexe.avc
23.04.2006 13:42 42.560 Getvlist.exe
23.04.2006 12:08 426 IMT1D.xml
23.04.2006 12:05 2.036 IMT19.xml
22.04.2006 20:27 218 ram7.ram
22.04.2006 20:23 80 ram6.ram
22.04.2006 19:52 182 ram5.ram
22.04.2006 13:25 33.865 gen999.avc
21.04.2006 16:33 77.356 virus012.avc
21.04.2006 16:33 17.071 unp000.avc
21.04.2006 16:33 71.406 virus009.avc
21.04.2006 16:33 49.890 base010.avc
20.04.2006 19:59 49.813 base061.avc
20.04.2006 19:59 49.565 base060.avc
20.04.2006 19:59 49.492 base059.avc
20.04.2006 19:59 49.756 base058.avc
18.04.2006 15:21 36.883 gen004.avc
18.04.2006 15:21 49.960 base095.avc
15.04.2006 16:57 75.355 virus008.avc
15.04.2006 16:57 38.925 base094.avc
15.04.2006 16:57 5.333 base999.avc
15.04.2006 16:57 49.993 base001.avc
12.04.2006 18:28 22.142 base011.avc
12.04.2006 18:28 49.847 base009.avc
12.04.2006 18:28 49.897 base008.avc
12.04.2006 18:28 49.731 base007.avc
12.04.2006 18:28 49.896 base006.avc
12.04.2006 18:27 492.032 Download.exe
12.04.2006 11:49 929 1144835368.log
12.04.2006 11:49 77 1144835368.atp
12.04.2006 11:49 220 1144835368.atd
10.04.2006 20:08 62.182 unp014.avc
10.04.2006 19:54 58.534 about.bmp
10.04.2006 19:54 58.534 bitmap1.bmp
10.04.2006 18:09 78.238 virus013.avc
10.04.2006 18:09 99.389 krnunp.avc
10.04.2006 18:09 49.984 troj015.avc
10.04.2006 18:09 3.865 krn003.avc
10.04.2006 18:09 32.342 gen001.avc
10.04.2006 18:09 43.766 gen002.avc
10.04.2006 18:09 49.177 base085.avc
10.04.2006 18:09 49.438 base004.avc
10.04.2006 18:09 49.974 base005.avc
10.04.2006 18:09 49.286 base003.avc
10.04.2006 18:09 49.532 base002.avc
08.04.2006 23:28 911 1144531729.log
08.04.2006 23:28 78 1144531729.atp
08.04.2006 23:28 208 1144531729.atd
08.04.2006 23:28 921 1144531719.log
08.04.2006 23:28 83 1144531719.atp
08.04.2006 23:28 213 1144531719.atd
08.04.2006 23:28 93 1144531716.atp
08.04.2006 23:28 941 1144531716.log
08.04.2006 23:28 223 1144531716.atd
08.04.2006 23:28 100 1144531709.atp
08.04.2006 23:28 955 1144531709.log
08.04.2006 23:28 230 1144531709.atd
08.04.2006 23:28 917 1144531706.log
08.04.2006 23:28 81 1144531706.atp
08.04.2006 23:28 211 1144531706.atd
08.04.2006 23:28 907 1144531703.log
08.04.2006 23:28 76 1144531703.atp
08.04.2006 23:28 206 1144531703.atd
08.04.2006 21:58 8.858 rtp50.tmp
08.04.2006 21:58 8.858 rtp4A.tmp
08.04.2006 19:57 922 1144519045.log
08.04.2006 19:57 83 1144519045.atp
08.04.2006 19:57 208 1144519045.atd
07.04.2006 20:09 462 MSIc98ad.LOG
07.04.2006 20:09 955 jinstall.cfg
06.04.2006 18:04 38.647 krn002.avc
06.04.2006 18:04 6.389 smart.avc
06.04.2006 14:15 60.982 unp015.avc
06.04.2006 14:15 54.519 unp003.avc
06.04.2006 14:15 49.887 base092.avc
06.04.2006 13:16 232 dcc.ini
05.04.2006 23:30 0 pl9.tmp
03.04.2006 17:32 50.380 unp032.avc
01.04.2006 18:04 50.031 base075.avc
31.03.2006 17:03 29.097 unp021.avc
31.03.2006 17:03 55.442 unp011.avc
31.03.2006 17:03 27.828 unp004.avc
31.03.2006 17:03 113.003 krnexe32.avc
29.03.2006 18:47 340.992 MWAVReg.EXE
29.03.2006 17:36 798.234 IMT7D.xml
29.03.2006 17:36 426 IMT7C.xml
29.03.2006 17:36 2.036 IMT7B.xml
28.03.2006 12:57 47.543 unp027.avc
28.03.2006 12:57 13.947 ext999.avc
28.03.2006 12:57 47.688 ext004.avc
28.03.2006 12:57 49.671 base062.avc
27.03.2006 20:10 4.128 1143483012.log
27.03.2006 20:10 529 1143483012.atp
27.03.2006 20:10 3.087 1143483012.atd
27.03.2006 10:06 812 1143446818.log
27.03.2006 10:06 106 1143446818.atp
27.03.2006 10:06 169 1143446818.atd
25.03.2006 18:20 966 1143303639.log
25.03.2006 18:20 93 1143303639.atp
25.03.2006 18:20 230 1143303639.atd
24.03.2006 20:47 1.048 1143226030.log
24.03.2006 20:47 103 1143226030.atp
24.03.2006 20:47 271 1143226030.atd
24.03.2006 18:48 49.705 French.Age
24.03.2006 17:02 99.881 troj009.avc
23.03.2006 16:28 29.489 krnengn.avc
23.03.2006 16:28 69.617 krn001.avc
22.03.2006 17:53 69.262 unp016.avc
22.03.2006 17:53 49.905 base074.avc
22.03.2006 17:53 49.880 base087.avc
21.03.2006 22:15 462 MSI12831.LOG
21.03.2006 22:15 91.305 tmp-2.xpi
21.03.2006 22:12 23.528 java_install.log
21.03.2006 22:09 91.305 tmp-1.xpi

..........

Verzeichnis von C:\

11.05.2006 14:15 0 sys.txt
11.05.2006 14:15 7.924 system.txt
11.05.2006 14:13 28.912 systemtemp.txt
11.05.2006 14:11 105.859 system32.txt
11.05.2006 13:28 1.609.809.920 pagefile.sys
11.05.2006 13:27 211 boot.ini
11.05.2006 09:17 4.789 eScan_neu.txt
10.05.2006 19:55 0 23990098.$$$
10.05.2006 19:55 6 AVPCallback.log
01.02.2006 23:04 0 CONFIG.SYS
01.02.2006 23:04 0 MSDOS.SYS
01.02.2006 23:04 0 AUTOEXEC.BAT
01.02.2006 23:04 0 IO.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.03.2003 21:20 1.060.864 mfc71.dll
18.03.2003 21:12 1.047.552 mfc71u.dll
18.03.2003 20:14 499.712 msvcp71.dll
18.03.2003 19:05 89.088 atl71.dll
21.02.2003 04:42 348.160 msvcr71.dll
18.08.2001 14:00 4.952 bootfont.bin

Verzeichnis von C:\WINDOWS
[/B]
11.05.2006 13:29 252 wiadebug.log
11.05.2006 13:29 50 wiaservc.log
11.05.2006 13:29 0 0.log
11.05.2006 13:28 2.048 bootstat.dat
11.05.2006 13:27 1.108.545 WindowsUpdate.log
11.05.2006 13:27 573 win.ini
11.05.2006 13:27 227 system.ini
11.05.2006 13:19 32.640 SchedLgU.Txt
10.05.2006 17:32 26 Lic.xxx
10.05.2006 14:23 434.698 iis6.log
10.05.2006 14:23 128.273 comsetup.log
10.05.2006 14:23 77.018 ntdtcsetup.log
10.05.2006 14:23 165.254 tsoc.log
10.05.2006 14:23 17.735 tabletoc.log
10.05.2006 14:23 1.374 imsins.log
10.05.2006 14:23 19.466 ocmsn.log
10.05.2006 14:23 12.139 KB913580.log
10.05.2006 14:23 24.794 MedCtrOC.log
10.05.2006 14:23 61.267 netfxocm.log
10.05.2006 14:23 180.722 ocgen.log
10.05.2006 14:23 17.286 msgsocm.log
10.05.2006 14:23 344.141 FaxSetup.log
10.05.2006 14:23 117.170 msmqinst.log
10.05.2006 14:23 18.535 updspapi.log
08.05.2006 20:14 582.781 setupapi.log
30.04.2006 12:23 67 StationRipper.INI
29.04.2006 19:50 1.374 imsins.BAK
29.04.2006 19:50 11.076 KB904942.log
26.04.2006 20:54 11.450 KB900485.log
25.04.2006 06:43 400 ODBC.INI
23.04.2006 22:00 1.497 DirectX.log
23.04.2006 18:08 57.424 wmsetup.log
22.04.2006 21:13 116 NeroDigital.ini
20.04.2006 18:09 2.737 spupdsvc.log
18.04.2006 20:46 15.068 KB908531.log
18.04.2006 20:46 14.301 KB911562.log
18.04.2006 20:45 17.364 KB912812.log
18.04.2006 20:45 13.626 KB911565.log
18.04.2006 20:45 10.905 KB911567.log
10.04.2006 12:50 1.000 IE4 Error Log.txt
21.03.2006 22:15 3.030 mozver.dat
21.03.2006 00:46 0 nsreg.dat
21.03.2006 00:46 107.134 UninstallFirefox.exe
20.03.2006 16:14 7.864 WGA.log
24.02.2006 10:13 34 cdplayer.ini
19.02.2006 17:28 235.376 setupact.log
18.02.2006 15:32 500 GEARInstall.log
17.02.2006 20:20 6.900 KB913446.log
17.02.2006 20:19 6.113 KB911564.log
17.02.2006 20:19 11.029 KB911927.log
02.02.2006 21:01 1.769 MININU.LOG
02.02.2006 21:01 504 _delis32.ini
02.02.2006 08:58 150 NetwkCfg.txt
02.02.2006 08:55 1.100 checkip.dat
02.02.2006 00:44 5.448 KB902344.log
02.02.2006 00:40 1.452 COM+.log
02.02.2006 00:33 6.502 WMCSetup.log
02.02.2006 00:33 3.436 basecsp.log
02.02.2006 00:33 4.888 KB891122.log
02.02.2006 00:33 316.640 WMSysPr9.prx
02.02.2006 00:32 242 wmsetup10.log
02.02.2006 00:32 10.177 KB900930.log
02.02.2006 00:32 9.903 KB887797.log
02.02.2006 00:20 29.627 KB912919.log
02.02.2006 00:20 28.532 KB908519.log
02.02.2006 00:20 33.823 KB905915.log
02.02.2006 00:20 24.776 KB904706.log
02.02.2006 00:20 20.718 KB910437.log
02.02.2006 00:20 27.031 KB896424.log
02.02.2006 00:20 25.822 KB900725.log
02.02.2006 00:19 23.058 KB905749.log
02.02.2006 00:19 23.220 KB905414.log
02.02.2006 00:19 23.890 KB901017.log
02.02.2006 00:19 22.685 KB899589.log
02.02.2006 00:19 28.476 KB902400.log
02.02.2006 00:19 18.549 KB894391.log
02.02.2006 00:19 16.485 KB896423.log
02.02.2006 00:19 19.040 KB899587.log
02.02.2006 00:19 18.039 KB899591.log
02.02.2006 00:19 17.813 KB893756.log
02.02.2006 00:19 17.702 KB896358.log
02.02.2006 00:19 17.708 KB890859.log
02.02.2006 00:19 14.643 KB901214.log
02.02.2006 00:19 15.187 KB893066.log
02.02.2006 00:19 14.057 KB896428.log
02.02.2006 00:18 16.961 KB896422.log
02.02.2006 00:18 15.958 KB890046.log
02.02.2006 00:18 15.669 KB885250.log
02.02.2006 00:18 16.163 KB885835.log
02.02.2006 00:18 14.599 KB887742.log
02.02.2006 00:18 14.253 KB888113.log
02.02.2006 00:18 14.000 KB891781.log
02.02.2006 00:18 13.337 KB888302.log
02.02.2006 00:18 14.663 KB885836.log
02.02.2006 00:18 8.415 KB886185.log
02.02.2006 00:18 14.162 KB873339.log
02.02.2006 00:10 7.363 KB893803v2.log
02.02.2006 00:10 7.001 KB898461.log
01.02.2006 23:08 829 OEWABLog.txt
01.02.2006 23:08 908.149 setuplog.txt
01.02.2006 23:08 52 oobeact.log
01.02.2006 23:07 8.192 REGLOCS.OLD
01.02.2006 23:06 1.256 setuperr.log
01.02.2006 23:04 0 control.ini
01.02.2006 23:04 4.161 ODBCINST.INI

Ich hoffe die Liste ist lang genug - musste kürzen.

Besten Dank!

Grüße

W.

cosinus · 11.05.2006, 17:22

Den Kram in den Temp-Ordnern kannst alle löschen. Auch die Viren im Quaräntäneordner unter Backup will man bestimmt nicht mehr haben.

Verdächtiges aus den Logs von DATFIND.BAT habe ich nicht gesehen. Mach mal am besten noch einen Check mit eScan im abgesicherten Modus.

Nordtiroler · 14.05.2006, 12:36

So, jetzt habe ich alle überflüssigen Datein und den Quarantäne Ordner gelöscht und nochmals escan drüber laufen lassen im abg. Modus - Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat May 13 22:44:42 2006 => System found infected with ezula Spyware/Adware (sed.exe)! Action taken: No Action Taken.
Sat May 13 22:44:42 2006 => System found infected with whenu/clocksync Spyware/Adware (sync.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat May 13 22:44:42 2006 => Offending file found: C:\WINDOWS\system32\sed.exe
Sat May 13 22:44:42 2006 => Offending file found: C:\WINDOWS\system32\sync.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat May 13 23:08:37 2006 => File C:\Programme\BitTorrent\uninstall.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Sat May 13 23:28:01 2006 => File C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Sat May 13 23:31:01 2006 => File C:\RECYCLER\S-1-5-21-436374069-1123561945-682003330-1006\Dc1.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Sat May 13 23:43:08 2006 => File C:\WINDOWS\system32\CMDOW.EXE tagged as not-a-virus:RiskTool.Win32.HideWindows. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 14 00:52:07 2006 => Total Errors: 203
Sun May 14 00:52:07 2006 => Time Elapsed: 02:07:43
Sun May 14 00:52:06 2006 => Total Objects Scanned: 111355
Sun May 14 00:52:07 2006 => Virus Database Date: 5/4/2006
Sun May 14 02:56:41 2006 => Virus Database Date: 5/4/2006

Nun habe ich im Netz über sed.exe geforscht:

Soll eine Spyware sein:

Wintotal

Habe über "Sed.exe" auch schon einiges im Forum hier glesen.

Daher möchte ich lieber auf der sicheren Seite sein.

Soll ich die 3 Datein (sed.exe,sync.exe,cmdow.exe) mal manuell löschen ?
Vorher eine Sicherheitskopie der Datein anlegen? - was wäre eine gute Lösung?

Jedenfalls vielen Dank für eure Hilfe!

Grüße

N.

cosinus · 14.05.2006, 23:14

Ja, verschieb die Dateien mal, aus dem jetzigen Ordner raus. Falls die Dateien legitim sein sollten und es Probleme mit einem von Dir installierten Programm gibt, kannst sie ja einfach wieder zurückkopieren/verschieben.

Nordtiroler · 15.05.2006, 18:20

Vielen Dank!

Habe dies ich heute nachmittag durchgeführt - habe die 3 Datein in einen Ordner im Desktop verschoben - ich habe bis jetzt keine Beeinträchtigung feststellen können.
Alle 3 Datein wurden am gleichen Tag im Jahre 2001 geändert (erstellt) lt. Anzeige - vielleicht ein Zeichen dafür,dass diese zum System (zu einem Programm) gehören (und zugleich aufgesetzt wurden).

Nochmals Danke für den Tipp!

Grüße aus der Alpenland!

N.

11.05.2006, 17:22	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bedrohung vorhanden ? Den Kram in den Temp-Ordnern kannst alle löschen. Auch die Viren im Quaräntäneordner unter Backup will man bestimmt nicht mehr haben. Verdächtiges aus den Logs von DATFIND.BAT habe ich nicht gesehen. Mach mal am besten noch einen Check mit eScan im abgesicherten Modus. __________________ Logfiles bitte immer in CODE-Tags posten

14.05.2006, 23:14	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bedrohung vorhanden ? Ja, verschieb die Dateien mal, aus dem jetzigen Ordner raus. Falls die Dateien legitim sein sollten und es Probleme mit einem von Dir installierten Programm gibt, kannst sie ja einfach wieder zurückkopieren/verschieben. __________________ Logfiles bitte immer in CODE-Tags posten

Bedrohung vorhanden ?

Log-Analyse und Auswertung: Bedrohung vorhanden ?