|
Log-Analyse und Auswertung: Trojaner?!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.04.2007, 21:52 | #1 |
| Trojaner?! Hallo Leute! Ich bin ganz neu im Forum und hab daher noch nicht so wirklich Ahnung... Also ich habe vor einigen Tagen den Fehler begangen und auf son Link geklickt den ich per ICQ erhalten hatte... Ich habe den Verdacht das ich mir damit etwas eingefangen habe, weil der IE nicht mehr richtig funktioniert...(Startseite aktualisiert sich sooft, dass sie nicht angezeigt wird) Hab schon eTrust, AdAware, Blacklight, SpyBot und Security Task Manager ausprobiert, aber irgendwie nichts gefunden... Also hoffentlich könnt ihr mir helfen wenn ich dieses Log-File poste: Logfile of HijackThis v1.99.1 Scan saved at 22:52:14, on 09.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Eumex 404PC\capictrl.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\locator.exe D:\Tools\Winamp\winamp.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\HPZipm12.exe D:\Tools\QIP\qip.exe C:\WINDOWS\Explorer.EXE D:\Tools\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local., O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nbustrce1D] C:\Programme\nbustrce1D.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: CAPI Control.lnk = C:\Programme\Eumex 404PC\capictrl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3CFC3380-C962-469C-B70B-268E73FD2C29}: NameServer = 217.237.151.225,217.237.149.161 O17 - HKLM\System\CCS\Services\Tcpip\..\{6A2DEC25-A1DC-4761-B174-7D50F53BEB89}: NameServer = 217.237.151.225,217.237.149.161 O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBDBB30-F736-431D-BD9C-30A310FFAAAF}: NameServer = 217.237.151.225,217.237.149.161 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Vielen Dank schonmal! (ach ja, den Link zu diesem Virus oder was auch immer hab ich noch, weiß aber nicht ob ich den hier posten soll...) |
09.04.2007, 22:01 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner?! Diese Datei ist mir aufgefallen:
__________________C:\Programme\nbustrce1D.exe Werte die doch bitte mal bei Virustotal oder Jotti aus und poste sämtliche Ergebnisse.
__________________ |
09.04.2007, 22:07 | #3 |
| Trojaner?! Datei: nbustrce1D.exe
__________________Auslastung: 0% 100% Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden und: Antivirus Version Update Result AhnLab-V3 2007.4.10.0 04.09.2007 no virus found AntiVir 7.3.1.48 04.09.2007 no virus found Authentium 4.93.8 04.08.2007 no virus found Avast 4.7.936.0 04.08.2007 no virus found AVG 7.5.0.447 04.08.2007 no virus found BitDefender 7.2 04.09.2007 no virus found CAT-QuickHeal 9.00 04.09.2007 no virus found ClamAV devel-20070312 04.09.2007 no virus found DrWeb 4.33 04.09.2007 no virus found eSafe 7.0.15.0 04.09.2007 no virus found eTrust-Vet 30.7.3549 04.06.2007 no virus found Ewido 4.0 04.09.2007 no virus found FileAdvisor 1 04.09.2007 no virus found Fortinet 2.85.0.0 04.09.2007 no virus found F-Prot 4.3.1.45 04.08.2007 no virus found F-Secure 6.70.13030.0 04.09.2007 no virus found hm sieht aus als wäre das clean würd ich mal so sagen Geändert von dark_pudel (09.04.2007 um 22:17 Uhr) |
10.04.2007, 22:28 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner?! (Hab nur ich den Eindruck, dass HijackThis ziemlich unbrauchbar geworden ist?) Besorg dir: Blacklight Silentrunners Führe diese Programme aus und poste davon die Logs bitte.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.04.2007, 15:46 | #5 |
| Trojaner?! hi danke für deine Antworten! Hier das Ergebnis von Silentrunners: "Silent Runners.vbs", revision R50, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "updateMgr" = ""C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1" ["Adobe Systems Incorporated"] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "Dit" = "Dit.exe" ["ICSI Technology Ltd."] "CHotkey" = "mHotkey.exe" ["Chicony"] "ledpointer" = "CNYHKey.exe" ["Chicony"] "AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"] "Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."] "Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "nbustrce1D" = "C:\Programme\nbustrce1D.exe" [file not found] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" "HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Development Company, L.P."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "(Default)" = "(empty string)" [file not found] "Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\Tools\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS] "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx" -> {HKLM...CLSID} = "AlcoholShellEx" \InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "D:\Tools\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."] MyPhoneExplorer\(Default) = "{2D30AAA2-9084-4686-B8B9-B9B62EEFFD4E}" -> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt" \InProcServer32\(Default) = "D:\Tools\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Startup items in "***" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "CAPI Control" -> shortcut to: "C:\Programme\Eumex 404PC\capictrl.exe" ["DeTeWe AG & Co."] "HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Development Company, L.P."] "HP Photosmart Premier – Schnellstart" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe -s" [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Computer, Inc."] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 49 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided) -> {HKLM...CLSID} = "Real.com" \InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ {5CF0F1D2-1D22-499D-93A1-8126F28412F4}\ "ButtonText" = "MedionShop" "Exec" = "http://www.medionshop.de/" [file not found] HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {B205A35E-1FC4-4CE3-818B-899DBBB3388C}\ {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\ "ButtonText" = "Real.com" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Bonjour Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Computer, Inc."] Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"] eTrust Antivirus Job Server, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."] eTrust Antivirus Realtime Server, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."] eTrust Antivirus RPC Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS] HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] PCL hpz3l43a\Driver = "hpz3l43a.dll" ["Hewlett-Packard Company"] PDF-XChange\Driver = "pxc25pm.dll" ["Tracker Software"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 80 seconds, including 16 seconds for message boxes) Blacklight hat folgendes ausgespuckt: 04/11/07 15:45:11 [Info]: BlackLight Engine 1.0.61 initialized 04/11/07 15:45:11 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/11/07 15:45:11 [Note]: 7019 4 04/11/07 15:45:11 [Note]: 7005 0 04/11/07 15:45:26 [Note]: 7006 0 04/11/07 15:45:26 [Note]: 7011 1744 04/11/07 15:45:26 [Note]: 7026 0 04/11/07 15:45:27 [Note]: 7026 0 04/11/07 15:45:36 [Note]: FSRAW library version 1.7.1021 04/11/07 15:48:18 [Note]: 4013 43941 04/11/07 15:48:18 [Note]: 4020 23588 983040 04/11/07 15:48:18 [Note]: 4018 23588 983040 04/11/07 15:48:18 [Note]: 4013 43952 04/11/07 15:48:18 [Note]: 4020 23588 983040 04/11/07 15:48:18 [Note]: 4018 23588 983040 04/11/07 16:40:14 [Note]: 2000 1012 04/11/07 16:46:15 [Note]: 7007 0 alles im normalen, nicht abgesicherten modus |
11.04.2007, 21:52 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner?! Zwei merkwürdige Einträge hab ich gesehen: "nbustrce1D" = "C:\Programme\nbustrce1D.exe" [file not found] "(Default)" = "(empty string)" [file not found] ob der zweite Eintrag was damit zu tun haben könnte, weiß ich nicht. Aber die erste Datei kommt mit doch schon recht verdächtig vor, obwohl Jotti nichts meldete. Ich schlag mal vor du schaust nach, ob dieser Programmordner existiert. Vermutlich kannst du ihn gefahrlos löschen, mach dir vorsichthalber aber noch ne (isolierte) Kopie davon, z.B. in eine ZIP-Datei.
__________________ --> Trojaner?! |
12.04.2007, 15:35 | #7 |
| Trojaner?! Oh... sorry das war wohl mein Fehler! Ich hatte die Datei vorsichtshalber umbenannt und verschoben. (nubustrce) jetzt, zurückgeschoben und wieder richtig benannt, meldt silentrunners das hier: "nbustrce1D" = "C:\Programme\nbustrce1D.exe" [null data] und immernoch "(Default)" = "(empty string)" [file not found]. aktuelles LogFile im Anhang... IE Startseite funktioniert auch wieder, obwohl nichts verändert wurde.... Kann mir das alles irgendwie nicht erklären, da ich ja ganz offensichtlich diese eine Datei von dem Link runtergeladen habe. Irgendwo muss die doch sein?! |
12.04.2007, 21:59 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner?! Ich bin hier etwas unschlüssig. Einerseits sehe ich keine wirklichen Beweise für die existenz eines bzw. mehrerer Schädlinge, andererseits kommt mir das Blacklight-Log mit den letzen vielen Einträgen wie Zitat:
Lass doch mal bitte MWAV (eScan, Link siehe Signatur) druchlaufen. Ich hoffe man bekommt dadurch ein aussagekräftigeres Ergebnis. Poste doch mal ebenfalls ein Log von datfind.bat, vllt. lässt sich da auch die ein oder andere krumme Datei lokalisieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
13.04.2007, 14:07 | #9 |
| Trojaner?! Habe die DatFindLog's angehängt In Down.txt sind keine Einträge von 2007... systemtemp.txt ist sehr groß, zuviele Zeichen um es zu posten... Hier ist der April: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 083B-2EA7 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp 13.04.2007 14:26 512 ~DF97BD.tmp 13.04.2007 14:26 32.768 ~DF9799.tmp 13.04.2007 14:26 512 ~DF8B9B.tmp 13.04.2007 14:26 32.768 ~DF8B7E.tmp 13.04.2007 14:24 47.122 DIO69A.tmp 13.04.2007 14:24 116 STS697.tmp 13.04.2007 14:24 47.122 DIO696.tmp 13.04.2007 14:23 1.020 ~ROMFN_000001E4 13.04.2007 14:23 16.384 ~DFA555.tmp 13.04.2007 14:23 1.285 MAR57C.tmp 13.04.2007 14:23 1.342 MAR57B.tmp 13.04.2007 14:22 6 Twain001.Mtx 13.04.2007 14:22 156 Twunk001.MTX 13.04.2007 14:22 410 TWAIN.LOG 12.04.2007 22:30 47.122 DIO697.tmp 12.04.2007 22:29 47.122 DIO694.tmp 12.04.2007 22:29 116 STS643.tmp 12.04.2007 22:28 1.285 MAR57A.tmp 12.04.2007 22:28 1.342 MAR579.tmp 12.04.2007 22:11 47.122 DIO698.tmp 12.04.2007 19:39 364 wmplog09.sqm 12.04.2007 19:36 364 wmplog08.sqm 12.04.2007 19:05 364 wmplog07.sqm 12.04.2007 19:03 47.122 DIO695.tmp 12.04.2007 19:03 47.122 DIO692.tmp 12.04.2007 19:03 116 STS64B.tmp 12.04.2007 19:02 1.285 MAR578.tmp 12.04.2007 19:02 1.342 MAR577.tmp 12.04.2007 17:25 496 wmplog06.sqm 12.04.2007 17:23 364 wmplog05.sqm 12.04.2007 17:22 364 wmplog04.sqm 12.04.2007 17:22 364 wmplog03.sqm 12.04.2007 17:22 364 wmplog02.sqm 12.04.2007 17:19 364 wmplog01.sqm 12.04.2007 17:18 364 wmplog00.sqm 12.04.2007 17:18 364 wmplog19.sqm 12.04.2007 17:16 364 wmplog18.sqm 12.04.2007 17:13 364 wmplog17.sqm 12.04.2007 17:12 496 wmplog16.sqm 12.04.2007 17:05 47.122 DIO693.tmp 12.04.2007 17:05 47.122 DIO690.tmp 12.04.2007 17:05 116 STS604.tmp 12.04.2007 17:04 1.285 MAR576.tmp 12.04.2007 17:04 1.342 MAR575.tmp 12.04.2007 16:48 797.676 IMT6EC.xml 12.04.2007 16:48 426 IMT6EB.xml 12.04.2007 16:48 2.036 IMT6EA.xml 12.04.2007 16:48 797.676 IMT6E9.xml 12.04.2007 16:48 426 IMT6E8.xml 12.04.2007 16:48 2.036 IMT6E7.xml 12.04.2007 15:22 47.122 DIO691.tmp 12.04.2007 15:22 47.122 DIO68F.tmp 12.04.2007 15:22 113 STS64C.tmp 12.04.2007 15:21 1.285 MAR574.tmp 12.04.2007 15:21 1.342 MAR573.tmp 11.04.2007 22:32 113 STS6D4.tmp 11.04.2007 17:35 78 dw.log 11.04.2007 17:27 23.427 TFR6A5.tmp 11.04.2007 17:27 67.994 TFR6A3.tmp 11.04.2007 17:27 21.122 TFR6A2.tmp 11.04.2007 17:27 27.777 TFR6A1.tmp 11.04.2007 17:27 67.560 TFR69F.tmp 11.04.2007 17:27 59.218 TFR69E.tmp 11.04.2007 17:27 46.660 TFR69D.tmp 11.04.2007 17:27 46.021 TFR69C.tmp 11.04.2007 16:33 47.122 DIO68E.tmp 11.04.2007 16:31 47.122 DIO68C.tmp 11.04.2007 15:25 1.285 MAR572.tmp 11.04.2007 15:25 1.342 MAR571.tmp 10.04.2007 22:06 364 wmplog15.sqm 10.04.2007 22:03 380 wmplog14.sqm 10.04.2007 21:25 16.384 ~DF735C.tmp 10.04.2007 21:24 16.384 ~DF5BE5.tmp 10.04.2007 20:58 47.122 DIO68D.tmp 10.04.2007 20:58 47.122 DIO689.tmp 10.04.2007 20:57 116 STS661.tmp 10.04.2007 20:56 16.384 ~DFCF15.tmp 10.04.2007 20:56 1.285 MAR570.tmp 10.04.2007 20:56 1.342 MAR56F.tmp 10.04.2007 18:58 116 STS690.tmp 10.04.2007 18:11 47.122 DIO68B.tmp 10.04.2007 18:05 47.122 DIO68A.tmp 10.04.2007 18:05 47.122 DIO687.tmp 10.04.2007 18:04 1.285 MAR56E.tmp 10.04.2007 18:04 1.342 MAR56D.tmp 10.04.2007 17:54 364 wmplog13.sqm 10.04.2007 17:52 364 wmplog12.sqm 10.04.2007 17:49 364 wmplog11.sqm 10.04.2007 17:47 364 wmplog10.sqm 10.04.2007 14:21 47.122 DIO688.tmp 10.04.2007 14:20 47.122 DIO685.tmp 10.04.2007 14:20 116 STS5DE.tmp 10.04.2007 14:19 1.285 MAR56C.tmp 10.04.2007 14:19 1.342 MAR56B.tmp 10.04.2007 09:20 47.122 DIO686.tmp 10.04.2007 09:19 47.122 DIO684.tmp 10.04.2007 09:19 116 STS64D.tmp 10.04.2007 09:18 1.285 MAR56A.tmp 10.04.2007 09:18 1.342 MAR569.tmp 09.04.2007 23:56 31.300 5614_appcompat.txt 09.04.2007 23:39 47.122 DIO8A1.tmp 09.04.2007 22:41 116 STS890.tmp 09.04.2007 13:58 5.871.154 SonyEricssonPCSuite.log 09.04.2007 13:58 45.056 MSI872.tmp 09.04.2007 13:50 56.832 5e10b1.mst 09.04.2007 13:49 449.298 MPE6CE.tmp 09.04.2007 13:49 457.468 MPE6C7.tmp 09.04.2007 12:45 47.122 DIO683.tmp 09.04.2007 12:42 47.122 DIO681.tmp 09.04.2007 12:08 1.285 MAR568.tmp 09.04.2007 12:08 1.342 MAR567.tmp 09.04.2007 00:19 1.285 MAR566.tmp 09.04.2007 00:19 1.342 MAR565.tmp 09.04.2007 00:17 113 STS568.tmp 09.04.2007 00:16 1.285 MAR564.tmp 09.04.2007 00:16 1.342 MAR563.tmp 08.04.2007 23:45 113 STS567.tmp 08.04.2007 23:44 1.285 MAR562.tmp 08.04.2007 23:44 1.342 MAR561.tmp 08.04.2007 01:03 118 9FD637EA.TMP 07.04.2007 09:19 113 STS564.tmp 07.04.2007 09:17 1.285 MAR560.tmp 07.04.2007 09:17 1.342 MAR55F.tmp 06.04.2007 23:48 116 STS91F.tmp 06.04.2007 23:39 47.122 DIO915.tmp 06.04.2007 19:10 47.122 DIO682.tmp 06.04.2007 19:10 47.122 DIO67F.tmp 06.04.2007 19:08 1.285 MAR55E.tmp 06.04.2007 19:08 1.342 MAR55D.tmp 06.04.2007 11:03 47.122 DIO680.tmp 06.04.2007 11:03 47.122 DIO67C.tmp 06.04.2007 11:03 116 STS5FD.tmp 06.04.2007 11:02 1.285 MAR55C.tmp 06.04.2007 11:02 1.342 MAR55B.tmp 05.04.2007 11:58 47.122 DIO67E.tmp 05.04.2007 11:57 47.122 DIO67A.tmp 05.04.2007 11:57 116 STS5C5.tmp 05.04.2007 11:56 1.285 MAR55A.tmp 05.04.2007 11:56 1.342 MAR559.tmp 05.04.2007 11:24 47.122 DIO67B.tmp 05.04.2007 11:24 47.122 DIO676.tmp 05.04.2007 11:24 116 STS5F2.tmp 05.04.2007 11:22 1.285 MAR558.tmp 05.04.2007 11:22 1.342 MAR557.tmp 04.04.2007 23:30 113 STS55E.tmp 04.04.2007 23:28 1.285 MAR556.tmp 04.04.2007 23:28 1.342 MAR555.tmp 04.04.2007 20:41 47.122 DIO677.tmp 04.04.2007 20:41 47.122 DIO675.tmp 04.04.2007 20:41 116 STS629.tmp 04.04.2007 20:39 1.285 MAR554.tmp 04.04.2007 20:39 1.342 MAR553.tmp 04.04.2007 14:11 113 STS557.tmp 04.04.2007 14:10 1.285 MAR552.tmp 04.04.2007 14:10 1.342 MAR551.tmp 04.04.2007 13:47 0 kaq565.tmp 04.04.2007 13:38 4.750 pic27451.jpg 04.04.2007 13:34 113 STS556.tmp 04.04.2007 13:33 1.285 MAR550.tmp 04.04.2007 13:33 1.342 MAR54F.tmp 04.04.2007 13:23 113 STS552.tmp 04.04.2007 13:21 1.285 MAR54E.tmp 04.04.2007 13:21 1.342 MAR54D.tmp 03.04.2007 23:21 113 STS54F.tmp 03.04.2007 23:20 1.285 MAR54C.tmp 03.04.2007 23:20 1.342 MAR54B.tmp 03.04.2007 23:05 113 STS67C.tmp 03.04.2007 22:41 47.122 DIO679.tmp 03.04.2007 22:40 47.122 DIO678.tmp 03.04.2007 22:39 47.122 DIO673.tmp 03.04.2007 22:34 1.285 MAR54A.tmp 03.04.2007 22:34 1.342 MAR549.tmp 03.04.2007 20:31 283 wahtmltmp00.htm 03.04.2007 17:44 47.122 DIO67D.tmp 03.04.2007 17:32 47.122 DIO674.tmp 03.04.2007 17:32 47.122 DIO671.tmp 03.04.2007 17:32 116 STS5FE.tmp 03.04.2007 17:30 1.285 MAR548.tmp 03.04.2007 17:30 1.342 MAR547.tmp 03.04.2007 15:27 47.122 DIO672.tmp 03.04.2007 15:26 47.122 DIO66F.tmp 03.04.2007 15:26 116 STS5BC.tmp 03.04.2007 15:25 1.285 MAR546.tmp 03.04.2007 15:25 1.342 MAR545.tmp 03.04.2007 15:09 16.384 ~DFCFCE.tmp 03.04.2007 15:09 16.384 ~DFC884.tmp 03.04.2007 15:09 47.122 DIO670.tmp 03.04.2007 15:09 47.122 DIO66D.tmp 03.04.2007 15:09 116 STS5E5.tmp 03.04.2007 15:07 1.285 MAR544.tmp 03.04.2007 15:07 1.342 MAR543.tmp 03.04.2007 14:38 16.384 ~DFD4DB.tmp 03.04.2007 14:37 16.384 ~DFD4F6.tmp 03.04.2007 14:37 512 ~DFD50F.tmp 03.04.2007 14:37 16.384 ~DFD4BD.tmp 03.04.2007 14:37 512 ~DFD4AA.tmp 03.04.2007 14:37 16.384 ~DFD493.tmp 03.04.2007 14:37 512 ~DFD480.tmp 03.04.2007 14:37 16.384 ~DFD46C.tmp 03.04.2007 14:31 47.122 DIO66E.tmp 03.04.2007 14:31 16.384 ~DF6966.tmp 03.04.2007 14:31 47.122 DIO66B.tmp 03.04.2007 14:31 512 ~DF39C8.tmp 03.04.2007 14:31 16.384 ~DF2898.tmp 03.04.2007 14:31 116 STS616.tmp 03.04.2007 14:30 16.384 ~DF9911.tmp 03.04.2007 14:30 1.285 MAR542.tmp 03.04.2007 14:30 1.342 MAR541.tmp 03.04.2007 13:04 47.122 DIO66C.tmp 03.04.2007 13:04 47.122 DIO669.tmp 03.04.2007 13:04 116 STS5CF.tmp 03.04.2007 13:02 1.285 MAR540.tmp 03.04.2007 13:02 1.342 MAR53F.tmp 03.04.2007 12:28 47.122 DIO66A.tmp 03.04.2007 12:28 47.122 DIO666.tmp 03.04.2007 12:28 116 STS5C0.tmp 03.04.2007 12:26 1.285 MAR53E.tmp 03.04.2007 12:26 1.342 MAR53D.tmp 03.04.2007 11:37 52.092 717f_appcompat.txt 03.04.2007 10:43 47.122 DIO668.tmp 03.04.2007 10:43 47.122 DIO664.tmp 03.04.2007 10:43 116 STS5FB.tmp 03.04.2007 10:42 1.285 MAR53C.tmp 03.04.2007 10:42 1.342 MAR53B.tmp 02.04.2007 20:37 47.122 DIO665.tmp 02.04.2007 20:37 47.122 DIO662.tmp 02.04.2007 20:37 116 STS5E3.tmp 02.04.2007 20:35 1.285 MAR53A.tmp 02.04.2007 20:35 1.342 MAR539.tmp 02.04.2007 17:34 47.122 DIO667.tmp 02.04.2007 17:34 116 STS666.tmp 02.04.2007 16:35 47.122 DIO663.tmp 02.04.2007 16:34 16.384 ~DF163C.tmp 02.04.2007 16:34 47.122 DIO660.tmp 02.04.2007 16:34 16.384 ~DF970C.tmp 02.04.2007 16:33 1.285 MAR538.tmp 02.04.2007 16:33 1.342 MAR537.tmp 02.04.2007 16:28 52.092 3a81_appcompat.txt 02.04.2007 14:27 47.122 DIO661.tmp 02.04.2007 14:27 47.122 DIO65F.tmp 02.04.2007 14:27 116 STS5F0.tmp 02.04.2007 14:26 1.285 MAR536.tmp 02.04.2007 14:26 1.342 MAR535.tmp 02.04.2007 12:08 47.122 DIO65E.tmp 02.04.2007 12:07 47.122 DIO65D.tmp 02.04.2007 12:07 116 STS541.tmp 02.04.2007 10:43 1.285 MAR534.tmp 02.04.2007 10:43 1.342 MAR533.tmp 01.04.2007 21:34 47.122 DIO65C.tmp 01.04.2007 21:32 47.122 DIO65A.tmp 01.04.2007 21:31 116 STS53D.tmp 01.04.2007 19:22 1.285 MAR532.tmp 01.04.2007 19:22 1.342 MAR531.tmp 01.04.2007 16:16 113 STS537.tmp 01.04.2007 16:15 1.285 MAR530.tmp 01.04.2007 16:15 1.342 MAR52F.tmp 01.04.2007 15:59 113 STS534.tmp 01.04.2007 15:58 1.285 MAR52E.tmp 01.04.2007 15:58 1.342 MAR52D.tmp |
13.04.2007, 17:37 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner?! "Krumme" Dateien sind mir dort in der Flut zwar nicht aufgefallen, aber du könntest sätmliche temporäre Dateien mit dem CCleaner löschen lassen. Check mit MWAV-eScan schon durchgeführt?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojaner?! |
adobe, antivirus, application, bho, bonjour, computer, downloader, fehler, firefox, helfen, helper, hijack, hijackthis, internet, internet explorer, link geklickt, monitor, mozilla, mozilla firefox, nicht angezeigt, object, photoshop, pop-up-blocker, rundll, security, skype.exe, software, system, trojaner, trojaner?, trojaner?!, unknown file in winsock lsp, windows, windows xp |