Hallo Forumssachsverstand!

Seit kurzem habe ich folgendes Problem – nach dem Start von Win Me poppt ein Fensterchen auf, von einer Anwendung „Test“, mit der Meldung „Static“ und der Möglichkeit „Ok“ oder „Update“.
Ich schieße das Teil immer mit dem Taskmanager ab („Test.exe“).
Ich habe nichts installiert, und irgendwas eingefangen auch nicht, soweit ich weiß. Die üblichen verdächtigen Seiten (Porno, Warez etc.) werden nicht besucht.
Screenshot:


System:
Win Me, AV-Antivir (immer aktuell gehalten), Zonealarm
DSL über T-Sinus 154 DSL Basic-Router (aktuelle Firmware), Firewall aktiviert, keine Ports extra geöffnet
Checks mit Spybot und Adaware sind negativ, Virencheck auch.

Mit der Forensuche und Google habe ich mit den entsprechenden Suchbegriffen nix Brauchbares gefunden.

Kennt jemand das Phänomen?

Danke für die Hilfe,
Nervbert

Halli hallo.

Merkwürdig das Ganze.

D.h. mache bitte folgendes:

-Erstelle ein HijackThis log:

http://download.hijackthis.eu/hijackthis_199.zip ( HINWEIS: Die entpackte .exe Datei vor der ersten Benutzung umbenennen in HiScan.com )



-Dann sammel bitte weitere Informationen über dein System:


-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..


-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.


Gruß

Undoreal

Hallo Undoreal,

werde ich dann mal machen, danke für die Hilfe schonmal!
Sobald ich dazu gekommen bin, poste ich's dann hier (wird aber erstmal nix ;-).

Schönen Gruß,
Nervbert

Moin Undoreal,

nach Wochen endlich Zeit für den Rechner gefunden.
Allerdings kann ich's nicht so machen wie Du postest:

In der Systemsteuerung steht kein Java. Na, dann eben nicht.
Blacklight läuft nicht an; zuerst fehlte eine USERENV.DLL, dann wollte er andere fehlende Sachen...
Silentrunner ging direkt.
SmitfraudFix läuft nicht an - Doppelklick auf die cmd gibt "Angegebenes Command-Verzeichnis falsch", auch nachdem ich die Command.com auf den Desktop gelegt hatte als Kopie.
Combofix läuft nicht; es kommt eine Meldung, daß es nur auf W2k und XP läuft....

Nun habe ich erstmal gestoppt, poste aber wenigstens mal die erhaltenen Logs.

Schönen Dank für die Mühe mit solchen PC-Simpeln wie mir!
Weiter weiß ich erstmal nicht.

Achja, ich habe vor dem Ganzen mit RegCleaner mal eine Bereinigung laufen lassen, aber außer einigen nicht mehr aktuellen Bildzuordnungen war da nix.

Es grüßt ein trauriger
Nervebrt


--------------------
Logfile of HijackThis v1.99.1
Scan saved at 18:14:28, on 10.10.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDHLP.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\WINCMD\TOTALCMD.EXE
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\PROXOMITRON\PROXOMITRON.EXE
C:\PROGRAMME\WIRELESS\54M WIRELESS USB UTILITY\ZDWLAN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HISCAN.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.2.1;192.168.2.30;192.168.2.31;192.168.2.32;192.168.2.33;192.168.2.34;192.168.2.35;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Proxomitron.lnk = C:\Programme\Proxomitron\Proxomitron.exe
O4 - Startup: 54M Wireless USB Utility.lnk = C:\Programme\Wireless\54M Wireless USB Utility\ZDWlan.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: *.web.de
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...9x/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1

---------------

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" ["Microsoft® Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"AtiPTA" = "Atiptaxx.exe" ["ATI Technologies, Inc."]
"WorksFUD" = "C:\Programme\Microsoft Works\wkfud.exe" ["Microsoft® Corporation"]
"Microsoft Works Portfolio" = "C:\Programme\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"]
"TrueImageMonitor.exe" = "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" ["Acronis"]
"Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"" ["Acronis"]
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]
"internat.exe" = "internat.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"SSDPSRV" = "C:\WINDOWS\SYSTEM\ssdpsrv.exe" [MS]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]
"ATIPOLAB" = "(empty string)" [file not found]
"TrueVector" = "C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service" ["Zone Labs Inc."]
"MiniLog" = "C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service" ["Zone Labs Inc."]
"Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]
OlsAolPerUser\(Default) = "Windows Setup - AOL"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsAolPerUserRemove 64 C:\WINDOWS\INF\ols.inf" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\STARFI~1.SCR" (Starfield Simulation.scr) [MS]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Proxomitron" -> shortcut to: "C:\Programme\Proxomitron\Proxomitron.exe" ["Groom-A-Zebu (tm) "]
"54M Wireless USB Utility" -> shortcut to: "C:\Programme\Wireless\54M Wireless USB Utility\ZDWlan.exe -SETWZCD 35" ["Wireless"]

C:\WINDOWS\All Users\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\ZoneAlarm\zonealarm.exe -nopopup" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 - 4
C:\WINDOWS\SYSTEM\msafd.dll [MS], 5 - 7
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 8 - 9


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "MSN Messenger Service"
"Exec" = "C:\PROGRA~1\MESSEN~1\MSMSGS.EXE" [MS]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
[Strings]: SAFESITE_VALUE="ie.search.msn.de"
[Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 3 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "NavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "DesktopItemNavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "NavigationCanceled" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "OfflineInformation" = "res://shdoclc.dll/offcancl.htm" [MS]
<<H>> "PostNotCached" = "res://mshtml.dll/repost.htm" [MS]


---------- (launch time: 2007-10-10 18:26:25)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 13 seconds.
---------- (total run time: 47 seconds)
---------------

Hallo Nervbert.

Du hast ein aktives RAT auf dem Rechner welches dein System mit Hintertüren (Backdoors) kompromitiert. Es handelt sich um den Spyware Trojaner / Opwin.

Zitat:

Troj/Opwin-11 ist ein Backdoor-Trojaner. Wenn der Trojaner-Server auf einem Computer läuft, ist der Computer frei für unbefugten Zugriff von Netzwerkstandorten

Ändere aus einem I-Net Caffee als aller Erstes alle online-Accounts sowie Passwörter die du auf dem Rechner gespeichert hast ! !

Setzte deinen Rechner danach umgehend neu auf !
Eine Anleitung dazu findest du in meiner Signatur. Daten wie Mp3s, Bilder, Dokumente kannst du sichern. Alles Andere, insb. ausführbare Dateien (dll. .exe .com) und Archive (.zip .rar) solltest
du nicht sichern. Bevor du Daten sicherst ändere alle Windows-Einstellungen so wie in der Anleitung meiner Signatur "Suchen und Finden von Dateien" beschrieben.


Gruß

Undoreal

Uuuärks!

So ein Mist!
Der PC ist im kleinen Heimnetz drin - über WLAN (WPA) und Router mit aktivierter Firewall (Sinus 154 DSL Basic SE). Daran hängen 2 weitere, einmal Win 98 und XP SP2. Könnten die auch infiziert sein?

Welche Aussage in den Logs zeigt das RAT an?

Vielen Dank!
Nervbert

Ach ja, sicherheitshalber - nur weil Du mir Progs für XP genannt hattest: Der PC hat Win _Millennium_ drauf!

Zitat:

Könnten die auch infiziert sein?

könnte sein, muss aber nicht. Allerdings ist der Optix ein ganz schöner Hammer und du solltest auf jeden Fall davon ausgehend, dass alle Datein im Heimnetzwerk ausspioniert und verändert worden sein könnten. Das ist bei dem Grad der Infizierung kein Problem. Dein Rechner kann praktisch ferngesteuert werden.

Der signifikanteste Eintrag ist wohl dieser:

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]

Gruß

Undoreal

*seufz*

Und wieso ist scanregw.exe so signifikant? Laut Tante Google und vielen Antworten ist die bei Win98 und Me notwendig und macht viele gewollte Dinge...

Wenn ich heute zu Hause bin, werde ich die mal ein paar Onlinescannern zumailen.

Wat'n Glück, daß ich PWs nie speichere!

Schönen Gruß,
Nevbert

So, habe jetzt mal die scanregw.exe mit virustotal.com online gecheckt:

----
Datei SCANREGW.EXE empfangen 2007.10.11 20:45:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

[snip]

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.12.0 2007.10.11 -
AntiVir 7.6.0.20 2007.10.11 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.11 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5203 2007.10.11 -
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.10 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2586 2007.10.11 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 -
Prevx1 V2 2007.10.11 -
Rising 19.44.32.00 2007.10.11 -
Sophos 4.22.0 2007.10.11 -
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.11 -
TheHacker 6.2.8.085 2007.10.11 -
VBA32 3.12.2.4 2007.10.11 -
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.11 -
weitere Informationen
File size: 126976 bytes
MD5: 193e54ad8b1cfba1839c21b42bbc4cfb
SHA1: 1ae9c71f64ec3c3f6d94b165173381f3e57d0bcf
----

Kein Fund, das klingt doch gut!
http://www.hijackfree.de/de/processdetails/?id=1150 sagt, die Datei wäre bei Me "meistens legitim"

Aber ich lasse nochmal Scan Spyware drüberlaufen.

Gruß,
Nervbert

Avira Antivir PE Classic (aktuelles Update) findet übrigens nichts - kann mich das beruhigen? Oder heißt das nichts?

Gruß,
Nervbert