Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner?!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.04.2007, 21:52   #1
dark_pudel
 
Trojaner?! - Icon22

Trojaner?!



Hallo Leute!
Ich bin ganz neu im Forum und hab daher noch nicht so wirklich Ahnung...
Also ich habe vor einigen Tagen den Fehler begangen und auf son Link geklickt den ich per ICQ erhalten hatte...
Ich habe den Verdacht das ich mir damit etwas eingefangen habe, weil der IE nicht mehr richtig funktioniert...(Startseite aktualisiert sich sooft, dass sie nicht angezeigt wird)
Hab schon eTrust, AdAware, Blacklight, SpyBot und Security Task Manager ausprobiert, aber irgendwie nichts gefunden... Also hoffentlich könnt ihr mir helfen wenn ich dieses Log-File poste:
Logfile of HijackThis v1.99.1
Scan saved at 22:52:14, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Eumex 404PC\capictrl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\locator.exe
D:\Tools\Winamp\winamp.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\HPZipm12.exe
D:\Tools\QIP\qip.exe
C:\WINDOWS\Explorer.EXE
D:\Tools\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nbustrce1D] C:\Programme\nbustrce1D.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPI Control.lnk = C:\Programme\Eumex 404PC\capictrl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CFC3380-C962-469C-B70B-268E73FD2C29}: NameServer = 217.237.151.225,217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A2DEC25-A1DC-4761-B174-7D50F53BEB89}: NameServer = 217.237.151.225,217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBDBB30-F736-431D-BD9C-30A310FFAAAF}: NameServer = 217.237.151.225,217.237.149.161
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Vielen Dank schonmal!

(ach ja, den Link zu diesem Virus oder was auch immer hab ich noch, weiß aber nicht ob ich den hier posten soll...)

Alt 09.04.2007, 22:01   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner?! - Standard

Trojaner?!



Diese Datei ist mir aufgefallen:

C:\Programme\nbustrce1D.exe

Werte die doch bitte mal bei Virustotal oder Jotti aus und poste sämtliche Ergebnisse.
__________________

__________________

Alt 09.04.2007, 22:07   #3
dark_pudel
 
Trojaner?! - Standard

Trojaner?!



Datei: nbustrce1D.exe
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden


und:

Antivirus Version Update Result
AhnLab-V3 2007.4.10.0 04.09.2007 no virus found
AntiVir 7.3.1.48 04.09.2007 no virus found
Authentium 4.93.8 04.08.2007 no virus found
Avast 4.7.936.0 04.08.2007 no virus found
AVG 7.5.0.447 04.08.2007 no virus found
BitDefender 7.2 04.09.2007 no virus found
CAT-QuickHeal 9.00 04.09.2007 no virus found
ClamAV devel-20070312 04.09.2007 no virus found
DrWeb 4.33 04.09.2007 no virus found
eSafe 7.0.15.0 04.09.2007 no virus found
eTrust-Vet 30.7.3549 04.06.2007 no virus found
Ewido 4.0 04.09.2007 no virus found
FileAdvisor 1 04.09.2007 no virus found
Fortinet 2.85.0.0 04.09.2007 no virus found
F-Prot 4.3.1.45 04.08.2007 no virus found
F-Secure 6.70.13030.0 04.09.2007 no virus found

hm sieht aus als wäre das clean würd ich mal so sagen
__________________

Geändert von dark_pudel (09.04.2007 um 22:17 Uhr)

Alt 10.04.2007, 22:28   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner?! - Standard

Trojaner?!



(Hab nur ich den Eindruck, dass HijackThis ziemlich unbrauchbar geworden ist?)

Besorg dir:
Blacklight
Silentrunners

Führe diese Programme aus und poste davon die Logs bitte.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.04.2007, 15:46   #5
dark_pudel
 
Trojaner?! - Standard

Trojaner?!



hi danke für deine Antworten!
Hier das Ergebnis von Silentrunners:

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"updateMgr" = ""C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1" ["Adobe Systems Incorporated"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"Dit" = "Dit.exe" ["ICSI Technology Ltd."]
"CHotkey" = "mHotkey.exe" ["Chicony"]
"ledpointer" = "CNYHKey.exe" ["Chicony"]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"nbustrce1D" = "C:\Programme\nbustrce1D.exe" [file not found]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Development Company, L.P."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"(Default)" = "(empty string)" [file not found]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\Tools\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "D:\Tools\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
MyPhoneExplorer\(Default) = "{2D30AAA2-9084-4686-B8B9-B9B62EEFFD4E}"
-> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt"
\InProcServer32\(Default) = "D:\Tools\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "***" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"CAPI Control" -> shortcut to: "C:\Programme\Eumex 404PC\capictrl.exe" ["DeTeWe AG & Co."]
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Development Company, L.P."]
"HP Photosmart Premier – Schnellstart" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe -s" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Computer, Inc."]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 49
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{5CF0F1D2-1D22-499D-93A1-8126F28412F4}\
"ButtonText" = "MedionShop"
"Exec" = "http://www.medionshop.de/" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Bonjour Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Computer, Inc."]
Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"]
eTrust Antivirus Job Server, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus Realtime Server, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus RPC Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
PCL hpz3l43a\Driver = "hpz3l43a.dll" ["Hewlett-Packard Company"]
PDF-XChange\Driver = "pxc25pm.dll" ["Tracker Software"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 80 seconds, including 16 seconds for message boxes)


Blacklight hat folgendes ausgespuckt:
04/11/07 15:45:11 [Info]: BlackLight Engine 1.0.61 initialized
04/11/07 15:45:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/11/07 15:45:11 [Note]: 7019 4
04/11/07 15:45:11 [Note]: 7005 0
04/11/07 15:45:26 [Note]: 7006 0
04/11/07 15:45:26 [Note]: 7011 1744
04/11/07 15:45:26 [Note]: 7026 0
04/11/07 15:45:27 [Note]: 7026 0
04/11/07 15:45:36 [Note]: FSRAW library version 1.7.1021
04/11/07 15:48:18 [Note]: 4013 43941
04/11/07 15:48:18 [Note]: 4020 23588 983040
04/11/07 15:48:18 [Note]: 4018 23588 983040
04/11/07 15:48:18 [Note]: 4013 43952
04/11/07 15:48:18 [Note]: 4020 23588 983040
04/11/07 15:48:18 [Note]: 4018 23588 983040
04/11/07 16:40:14 [Note]: 2000 1012
04/11/07 16:46:15 [Note]: 7007 0

alles im normalen, nicht abgesicherten modus


Alt 11.04.2007, 21:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner?! - Standard

Trojaner?!



Zwei merkwürdige Einträge hab ich gesehen:

"nbustrce1D" = "C:\Programme\nbustrce1D.exe" [file not found]
"(Default)" = "(empty string)" [file not found]

ob der zweite Eintrag was damit zu tun haben könnte, weiß ich nicht. Aber die erste Datei kommt mit doch schon recht verdächtig vor, obwohl Jotti nichts meldete.
Ich schlag mal vor du schaust nach, ob dieser Programmordner existiert. Vermutlich kannst du ihn gefahrlos löschen, mach dir vorsichthalber aber noch ne (isolierte) Kopie davon, z.B. in eine ZIP-Datei.
__________________
--> Trojaner?!

Alt 12.04.2007, 15:35   #7
dark_pudel
 
Trojaner?! - Standard

Trojaner?!



Oh... sorry das war wohl mein Fehler! Ich hatte die Datei vorsichtshalber umbenannt und verschoben. (nubustrce)
jetzt, zurückgeschoben und wieder richtig benannt, meldt silentrunners das hier:

"nbustrce1D" = "C:\Programme\nbustrce1D.exe" [null data]

und immernoch "(Default)" = "(empty string)" [file not found].

aktuelles LogFile im Anhang...

IE Startseite funktioniert auch wieder, obwohl nichts verändert wurde....

Kann mir das alles irgendwie nicht erklären, da ich ja ganz offensichtlich diese eine Datei von dem Link runtergeladen habe. Irgendwo muss die doch sein?!

Alt 12.04.2007, 21:59   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner?! - Standard

Trojaner?!



Ich bin hier etwas unschlüssig. Einerseits sehe ich keine wirklichen Beweise für die existenz eines bzw. mehrerer Schädlinge, andererseits kommt mir das Blacklight-Log mit den letzen vielen Einträgen wie
Zitat:
04/11/07 15:48:18 [Note]: 4020 23588 983040
04/11/07 15:48:18 [Note]: 4018 23588 983040
04/11/07 15:48:18 [Note]: 4013 43952
04/11/07 15:48:18 [Note]: 4020 23588 983040
04/11/07 15:48:18 [Note]: 4018 23588 983040
merkwürdig vor, ist mir bisher AFAIR noch nicht untergekommen. Und dann noch diese erwähnte Datei, die sich bei Jotti als sauber befunden wird. Für mich weder ein Beweis für die Sauberkeit, noch für die Kompromittierung. Was meinen die anderen dazu?
Lass doch mal bitte MWAV (eScan, Link siehe Signatur) druchlaufen. Ich hoffe man bekommt dadurch ein aussagekräftigeres Ergebnis. Poste doch mal ebenfalls ein Log von datfind.bat, vllt. lässt sich da auch die ein oder andere krumme Datei lokalisieren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.04.2007, 14:07   #9
dark_pudel
 
Trojaner?! - Standard

Trojaner?!



Habe die DatFindLog's angehängt

In Down.txt sind keine Einträge von 2007...

systemtemp.txt ist sehr groß, zuviele Zeichen um es zu posten... Hier ist der April:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

13.04.2007 14:26 512 ~DF97BD.tmp
13.04.2007 14:26 32.768 ~DF9799.tmp
13.04.2007 14:26 512 ~DF8B9B.tmp
13.04.2007 14:26 32.768 ~DF8B7E.tmp
13.04.2007 14:24 47.122 DIO69A.tmp
13.04.2007 14:24 116 STS697.tmp
13.04.2007 14:24 47.122 DIO696.tmp
13.04.2007 14:23 1.020 ~ROMFN_000001E4
13.04.2007 14:23 16.384 ~DFA555.tmp
13.04.2007 14:23 1.285 MAR57C.tmp
13.04.2007 14:23 1.342 MAR57B.tmp
13.04.2007 14:22 6 Twain001.Mtx
13.04.2007 14:22 156 Twunk001.MTX
13.04.2007 14:22 410 TWAIN.LOG
12.04.2007 22:30 47.122 DIO697.tmp
12.04.2007 22:29 47.122 DIO694.tmp
12.04.2007 22:29 116 STS643.tmp
12.04.2007 22:28 1.285 MAR57A.tmp
12.04.2007 22:28 1.342 MAR579.tmp
12.04.2007 22:11 47.122 DIO698.tmp
12.04.2007 19:39 364 wmplog09.sqm
12.04.2007 19:36 364 wmplog08.sqm
12.04.2007 19:05 364 wmplog07.sqm
12.04.2007 19:03 47.122 DIO695.tmp
12.04.2007 19:03 47.122 DIO692.tmp
12.04.2007 19:03 116 STS64B.tmp
12.04.2007 19:02 1.285 MAR578.tmp
12.04.2007 19:02 1.342 MAR577.tmp
12.04.2007 17:25 496 wmplog06.sqm
12.04.2007 17:23 364 wmplog05.sqm
12.04.2007 17:22 364 wmplog04.sqm
12.04.2007 17:22 364 wmplog03.sqm
12.04.2007 17:22 364 wmplog02.sqm
12.04.2007 17:19 364 wmplog01.sqm
12.04.2007 17:18 364 wmplog00.sqm
12.04.2007 17:18 364 wmplog19.sqm
12.04.2007 17:16 364 wmplog18.sqm
12.04.2007 17:13 364 wmplog17.sqm
12.04.2007 17:12 496 wmplog16.sqm
12.04.2007 17:05 47.122 DIO693.tmp
12.04.2007 17:05 47.122 DIO690.tmp
12.04.2007 17:05 116 STS604.tmp
12.04.2007 17:04 1.285 MAR576.tmp
12.04.2007 17:04 1.342 MAR575.tmp
12.04.2007 16:48 797.676 IMT6EC.xml
12.04.2007 16:48 426 IMT6EB.xml
12.04.2007 16:48 2.036 IMT6EA.xml
12.04.2007 16:48 797.676 IMT6E9.xml
12.04.2007 16:48 426 IMT6E8.xml
12.04.2007 16:48 2.036 IMT6E7.xml
12.04.2007 15:22 47.122 DIO691.tmp
12.04.2007 15:22 47.122 DIO68F.tmp
12.04.2007 15:22 113 STS64C.tmp
12.04.2007 15:21 1.285 MAR574.tmp
12.04.2007 15:21 1.342 MAR573.tmp
11.04.2007 22:32 113 STS6D4.tmp
11.04.2007 17:35 78 dw.log
11.04.2007 17:27 23.427 TFR6A5.tmp
11.04.2007 17:27 67.994 TFR6A3.tmp
11.04.2007 17:27 21.122 TFR6A2.tmp
11.04.2007 17:27 27.777 TFR6A1.tmp
11.04.2007 17:27 67.560 TFR69F.tmp
11.04.2007 17:27 59.218 TFR69E.tmp
11.04.2007 17:27 46.660 TFR69D.tmp
11.04.2007 17:27 46.021 TFR69C.tmp
11.04.2007 16:33 47.122 DIO68E.tmp
11.04.2007 16:31 47.122 DIO68C.tmp
11.04.2007 15:25 1.285 MAR572.tmp
11.04.2007 15:25 1.342 MAR571.tmp
10.04.2007 22:06 364 wmplog15.sqm
10.04.2007 22:03 380 wmplog14.sqm
10.04.2007 21:25 16.384 ~DF735C.tmp
10.04.2007 21:24 16.384 ~DF5BE5.tmp
10.04.2007 20:58 47.122 DIO68D.tmp
10.04.2007 20:58 47.122 DIO689.tmp
10.04.2007 20:57 116 STS661.tmp
10.04.2007 20:56 16.384 ~DFCF15.tmp
10.04.2007 20:56 1.285 MAR570.tmp
10.04.2007 20:56 1.342 MAR56F.tmp
10.04.2007 18:58 116 STS690.tmp
10.04.2007 18:11 47.122 DIO68B.tmp
10.04.2007 18:05 47.122 DIO68A.tmp
10.04.2007 18:05 47.122 DIO687.tmp
10.04.2007 18:04 1.285 MAR56E.tmp
10.04.2007 18:04 1.342 MAR56D.tmp
10.04.2007 17:54 364 wmplog13.sqm
10.04.2007 17:52 364 wmplog12.sqm
10.04.2007 17:49 364 wmplog11.sqm
10.04.2007 17:47 364 wmplog10.sqm
10.04.2007 14:21 47.122 DIO688.tmp
10.04.2007 14:20 47.122 DIO685.tmp
10.04.2007 14:20 116 STS5DE.tmp
10.04.2007 14:19 1.285 MAR56C.tmp
10.04.2007 14:19 1.342 MAR56B.tmp
10.04.2007 09:20 47.122 DIO686.tmp
10.04.2007 09:19 47.122 DIO684.tmp
10.04.2007 09:19 116 STS64D.tmp
10.04.2007 09:18 1.285 MAR56A.tmp
10.04.2007 09:18 1.342 MAR569.tmp
09.04.2007 23:56 31.300 5614_appcompat.txt
09.04.2007 23:39 47.122 DIO8A1.tmp
09.04.2007 22:41 116 STS890.tmp
09.04.2007 13:58 5.871.154 SonyEricssonPCSuite.log
09.04.2007 13:58 45.056 MSI872.tmp
09.04.2007 13:50 56.832 5e10b1.mst
09.04.2007 13:49 449.298 MPE6CE.tmp
09.04.2007 13:49 457.468 MPE6C7.tmp
09.04.2007 12:45 47.122 DIO683.tmp
09.04.2007 12:42 47.122 DIO681.tmp
09.04.2007 12:08 1.285 MAR568.tmp
09.04.2007 12:08 1.342 MAR567.tmp
09.04.2007 00:19 1.285 MAR566.tmp
09.04.2007 00:19 1.342 MAR565.tmp
09.04.2007 00:17 113 STS568.tmp
09.04.2007 00:16 1.285 MAR564.tmp
09.04.2007 00:16 1.342 MAR563.tmp
08.04.2007 23:45 113 STS567.tmp
08.04.2007 23:44 1.285 MAR562.tmp
08.04.2007 23:44 1.342 MAR561.tmp
08.04.2007 01:03 118 9FD637EA.TMP
07.04.2007 09:19 113 STS564.tmp
07.04.2007 09:17 1.285 MAR560.tmp
07.04.2007 09:17 1.342 MAR55F.tmp
06.04.2007 23:48 116 STS91F.tmp
06.04.2007 23:39 47.122 DIO915.tmp
06.04.2007 19:10 47.122 DIO682.tmp
06.04.2007 19:10 47.122 DIO67F.tmp
06.04.2007 19:08 1.285 MAR55E.tmp
06.04.2007 19:08 1.342 MAR55D.tmp
06.04.2007 11:03 47.122 DIO680.tmp
06.04.2007 11:03 47.122 DIO67C.tmp
06.04.2007 11:03 116 STS5FD.tmp
06.04.2007 11:02 1.285 MAR55C.tmp
06.04.2007 11:02 1.342 MAR55B.tmp
05.04.2007 11:58 47.122 DIO67E.tmp
05.04.2007 11:57 47.122 DIO67A.tmp
05.04.2007 11:57 116 STS5C5.tmp
05.04.2007 11:56 1.285 MAR55A.tmp
05.04.2007 11:56 1.342 MAR559.tmp
05.04.2007 11:24 47.122 DIO67B.tmp
05.04.2007 11:24 47.122 DIO676.tmp
05.04.2007 11:24 116 STS5F2.tmp
05.04.2007 11:22 1.285 MAR558.tmp
05.04.2007 11:22 1.342 MAR557.tmp
04.04.2007 23:30 113 STS55E.tmp
04.04.2007 23:28 1.285 MAR556.tmp
04.04.2007 23:28 1.342 MAR555.tmp
04.04.2007 20:41 47.122 DIO677.tmp
04.04.2007 20:41 47.122 DIO675.tmp
04.04.2007 20:41 116 STS629.tmp
04.04.2007 20:39 1.285 MAR554.tmp
04.04.2007 20:39 1.342 MAR553.tmp
04.04.2007 14:11 113 STS557.tmp
04.04.2007 14:10 1.285 MAR552.tmp
04.04.2007 14:10 1.342 MAR551.tmp
04.04.2007 13:47 0 kaq565.tmp
04.04.2007 13:38 4.750 pic27451.jpg
04.04.2007 13:34 113 STS556.tmp
04.04.2007 13:33 1.285 MAR550.tmp
04.04.2007 13:33 1.342 MAR54F.tmp
04.04.2007 13:23 113 STS552.tmp
04.04.2007 13:21 1.285 MAR54E.tmp
04.04.2007 13:21 1.342 MAR54D.tmp
03.04.2007 23:21 113 STS54F.tmp
03.04.2007 23:20 1.285 MAR54C.tmp
03.04.2007 23:20 1.342 MAR54B.tmp
03.04.2007 23:05 113 STS67C.tmp
03.04.2007 22:41 47.122 DIO679.tmp
03.04.2007 22:40 47.122 DIO678.tmp
03.04.2007 22:39 47.122 DIO673.tmp
03.04.2007 22:34 1.285 MAR54A.tmp
03.04.2007 22:34 1.342 MAR549.tmp
03.04.2007 20:31 283 wahtmltmp00.htm
03.04.2007 17:44 47.122 DIO67D.tmp
03.04.2007 17:32 47.122 DIO674.tmp
03.04.2007 17:32 47.122 DIO671.tmp
03.04.2007 17:32 116 STS5FE.tmp
03.04.2007 17:30 1.285 MAR548.tmp
03.04.2007 17:30 1.342 MAR547.tmp
03.04.2007 15:27 47.122 DIO672.tmp
03.04.2007 15:26 47.122 DIO66F.tmp
03.04.2007 15:26 116 STS5BC.tmp
03.04.2007 15:25 1.285 MAR546.tmp
03.04.2007 15:25 1.342 MAR545.tmp
03.04.2007 15:09 16.384 ~DFCFCE.tmp
03.04.2007 15:09 16.384 ~DFC884.tmp
03.04.2007 15:09 47.122 DIO670.tmp
03.04.2007 15:09 47.122 DIO66D.tmp
03.04.2007 15:09 116 STS5E5.tmp
03.04.2007 15:07 1.285 MAR544.tmp
03.04.2007 15:07 1.342 MAR543.tmp
03.04.2007 14:38 16.384 ~DFD4DB.tmp
03.04.2007 14:37 16.384 ~DFD4F6.tmp
03.04.2007 14:37 512 ~DFD50F.tmp
03.04.2007 14:37 16.384 ~DFD4BD.tmp
03.04.2007 14:37 512 ~DFD4AA.tmp
03.04.2007 14:37 16.384 ~DFD493.tmp
03.04.2007 14:37 512 ~DFD480.tmp
03.04.2007 14:37 16.384 ~DFD46C.tmp
03.04.2007 14:31 47.122 DIO66E.tmp
03.04.2007 14:31 16.384 ~DF6966.tmp
03.04.2007 14:31 47.122 DIO66B.tmp
03.04.2007 14:31 512 ~DF39C8.tmp
03.04.2007 14:31 16.384 ~DF2898.tmp
03.04.2007 14:31 116 STS616.tmp
03.04.2007 14:30 16.384 ~DF9911.tmp
03.04.2007 14:30 1.285 MAR542.tmp
03.04.2007 14:30 1.342 MAR541.tmp
03.04.2007 13:04 47.122 DIO66C.tmp
03.04.2007 13:04 47.122 DIO669.tmp
03.04.2007 13:04 116 STS5CF.tmp
03.04.2007 13:02 1.285 MAR540.tmp
03.04.2007 13:02 1.342 MAR53F.tmp
03.04.2007 12:28 47.122 DIO66A.tmp
03.04.2007 12:28 47.122 DIO666.tmp
03.04.2007 12:28 116 STS5C0.tmp
03.04.2007 12:26 1.285 MAR53E.tmp
03.04.2007 12:26 1.342 MAR53D.tmp
03.04.2007 11:37 52.092 717f_appcompat.txt
03.04.2007 10:43 47.122 DIO668.tmp
03.04.2007 10:43 47.122 DIO664.tmp
03.04.2007 10:43 116 STS5FB.tmp
03.04.2007 10:42 1.285 MAR53C.tmp
03.04.2007 10:42 1.342 MAR53B.tmp
02.04.2007 20:37 47.122 DIO665.tmp
02.04.2007 20:37 47.122 DIO662.tmp
02.04.2007 20:37 116 STS5E3.tmp
02.04.2007 20:35 1.285 MAR53A.tmp
02.04.2007 20:35 1.342 MAR539.tmp
02.04.2007 17:34 47.122 DIO667.tmp
02.04.2007 17:34 116 STS666.tmp
02.04.2007 16:35 47.122 DIO663.tmp
02.04.2007 16:34 16.384 ~DF163C.tmp
02.04.2007 16:34 47.122 DIO660.tmp
02.04.2007 16:34 16.384 ~DF970C.tmp
02.04.2007 16:33 1.285 MAR538.tmp
02.04.2007 16:33 1.342 MAR537.tmp
02.04.2007 16:28 52.092 3a81_appcompat.txt
02.04.2007 14:27 47.122 DIO661.tmp
02.04.2007 14:27 47.122 DIO65F.tmp
02.04.2007 14:27 116 STS5F0.tmp
02.04.2007 14:26 1.285 MAR536.tmp
02.04.2007 14:26 1.342 MAR535.tmp
02.04.2007 12:08 47.122 DIO65E.tmp
02.04.2007 12:07 47.122 DIO65D.tmp
02.04.2007 12:07 116 STS541.tmp
02.04.2007 10:43 1.285 MAR534.tmp
02.04.2007 10:43 1.342 MAR533.tmp
01.04.2007 21:34 47.122 DIO65C.tmp
01.04.2007 21:32 47.122 DIO65A.tmp
01.04.2007 21:31 116 STS53D.tmp
01.04.2007 19:22 1.285 MAR532.tmp
01.04.2007 19:22 1.342 MAR531.tmp
01.04.2007 16:16 113 STS537.tmp
01.04.2007 16:15 1.285 MAR530.tmp
01.04.2007 16:15 1.342 MAR52F.tmp
01.04.2007 15:59 113 STS534.tmp
01.04.2007 15:58 1.285 MAR52E.tmp
01.04.2007 15:58 1.342 MAR52D.tmp

Alt 13.04.2007, 17:37   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner?! - Standard

Trojaner?!



"Krumme" Dateien sind mir dort in der Flut zwar nicht aufgefallen, aber du könntest sätmliche temporäre Dateien mit dem CCleaner löschen lassen.
Check mit MWAV-eScan schon durchgeführt?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Trojaner?!
adobe, antivirus, application, bho, bonjour, computer, downloader, fehler, firefox, helfen, helper, hijack, hijackthis, internet, internet explorer, link geklickt, monitor, mozilla, mozilla firefox, nicht angezeigt, object, photoshop, pop-up-blocker, rundll, security, skype.exe, software, system, trojaner, trojaner?, trojaner?!, unknown file in winsock lsp, windows, windows xp




Zum Thema Trojaner?! - Hallo Leute! Ich bin ganz neu im Forum und hab daher noch nicht so wirklich Ahnung... Also ich habe vor einigen Tagen den Fehler begangen und auf son Link geklickt - Trojaner?!...
Archiv
Du betrachtest: Trojaner?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.