svp322.dll

jayxxl · 10.09.2007, 19:06

hi erstmal.
mein problem is ich bin heute von der schule wiedergekommen und kam nicht mehr ins internet.
ich hab dann festgestellt das mein vater irgendwie nen trojaner in einer e-mail geöffnet hat.

Sign of "Win32:BZub-FX [Trj]" has been found in "C:\windows\system32\msfeedssync.dll" file.

Sign of "Win32:Zhelatin-ALE [Wrm]" has been found in "C:\windows\system32\rsvp322.dll\[ASPack]" file.

Ich hab dann systemwiederherstellung gemacht und i-net geht au wieder.
Aber irgendwie hab ich noch angst das der 2. Virus noch da ist weil ich den nicht gefunden hab.
Was soll ich jetzt machen? Würde nämlich ungern formatiern, hab aus schulischen Gründen keine Zeit.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:54:14, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Dokumente und Einstellungen\***\Desktop\hj2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.1und1.de/de/themen/?__rd=ac1704c4Ind5wQM88oOCWWOB2lDr591x&origin[site]=MX.EUE.DE&origin[page]=index&ucuoId=MX.EUE.DE-20070111194846-ac1704c5pwKBDioqYfp5gSn9WWMu4g1Q-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.quadv.com/quadvtv2/Rawflow.cab
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187043335843
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - h**p://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 9353 bytes

Thx schonmal im voraus

undoreal · 10.09.2007, 19:11

Halli hallo.

Erstelle bitte ein eScan log. Anleitung dazu findest du in meiner Signatur..

PS: Ich kann dich schon mal beruhigen.. dein log sieht sauber aus..

Gruß

Undoreal

jayxxl · 10.09.2007, 21:13

Hier der eScan-log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/10/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\dlh9jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{052EE753-2860-413E-AA26-3FAB8A6AA156}\RP234\A0063573.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{052EE753-2860-413E-AA26-3FAB8A6AA156}\RP234\A0063574.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{052EE753-2860-413E-AA26-3FAB8A6AA156}\RP235\A0063697.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\dlh9jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Malte\Desktop\eswc-highlights\Downloads\reconect\Reconect\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Malte\Desktop\reconect\Reconect\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Malte\Eigene Dateien\My Games\Company of Heroes\playback\reconect\Reconect\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Malte\Eigene Dateien\My Games\Company of Heroes\playback\reconect.rar/Reconect\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{052EE753-2860-413E-AA26-3FAB8A6AA156}\RP236\A0064313.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{052EE753-2860-413E-AA26-3FAB8A6AA156}\RP236\A0064317.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei D:\Downloads\dv450mi\Setup\mirc621.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei D:\Downloads\girc442.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\Malte\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Malte\Lokale Einstellungen\temp\cmdlineext02.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\icq6\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\Resources\Themes\Eclipse\shell\normalcolor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...

~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 130483
Gefundene Viren: 21
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 66
Dauer des Scans bisher: 01:41:41
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:05:58,48
Batchende: 22:06:07,59

Die beiden neuen Viren wurden ja nicht gefunden. Kann ich jetzt davon ausgehen das mein Avast die gelöscht hat und muss mir keine Sorgen machen auspioniert zu werden?

cosinus · 10.09.2007, 21:40

Die Meldungen unter "Infektionsmeldungen" sehen nach Fehlalarmen aus aber z.B.

Zitat:

Datei C:\WINDOWS\system32\dlh9jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{052EE753-2860-413E-AA26-3FAB8A6AA156}\RP234\A0063573.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

deuten auf wirkliche Probleme hin.
Die Dateien in C:\System Volume Information\ bekommst du raus, indem du die Systemwiederherstellung deaktivierst.

Unter tagged files müsstest du mal genauer schauen, ob die Programme wirklich eine Bedrohung darstellen. Das sieht mir aber eher nach legitimen Programmen aus.

Was die Datei

cmdlineext02.dll

betrifft bin ich unschlüssig, vllt. hilft dir dieser Artikel weiter. Hast du Warcraft III The Frozen Throne installiert?

Da wahrscheinlich wohl noch andere Dateien in system32 sind, müsstest du noch ein filelist machen, das aber später, mach mal zuerst einen check mit Blacklight und poste davon das Log.

jayxxl · 10.09.2007, 22:09

blacklight hat nix gefunden.
Also ich hatte mal Warcaraft 3: The Froze Throne installiert.
Ich hab es jetzt aber auf eine externen Festplatte rübergezogen.

Wie meinst du das mit Systemwiederherstellung deaktivieren?

undoreal · 10.09.2007, 22:12

So wird es gemacht.

cosinus · 10.09.2007, 22:16

Ok, wenn Blacklight nichts gefunden hat, dann mach mal bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

jayxxl · 10.09.2007, 22:19

Zitat:

Zitat von undoreal

So wird es gemacht.

Ich weiß schon wie man es deaktiviert.

Ich versteh nur nicht warum es notwendig ist.

Wahrscheinlich werde ich sowieso bald den pc neu aufstetzen.
Aber dazu brauch ich halt erst ma ein freies Wochenende.
Ich hab halt nur Angst, dass bis ich neu aufgestzt hab
schon alles auspioniert ist.

cosinus · 10.09.2007, 22:24

Zitat:

Ich hab halt nur Angst, dass bis ich neu aufgestzt hab
schon alles auspioniert ist.

Hm...
Dann brauchst du den Anweisungen ja nicht mehr zu folgen. Wozu alles umständlich bereinigen wenn du eh neu aufsetzt?
Lass den Rechner dann einfach offline und setz dann bei Zeiten neu auf.

Die SWH sollte deaktiviert werden, da Schädlinge mit in die Wiederherstellungspunkte gekommen sind, diese sind dann ab sofort unbrauchbar.

jayxxl · 11.09.2007, 13:19

Verzeichnis von C:\

11.09.2007 14:04 1.072.480.256 hiberfil.sys
11.09.2007 14:04 1.610.612.736 pagefile.sys
10.09.2007 22:16 6.657 moduleName.txt
10.09.2007 22:02 0 23990098.$$$
10.09.2007 19:23 211 boot.ini
08.09.2007 19:57 55.331 hpfr5700.log
14.08.2007 14:20 42.046 debug.log

Verzeichnis von C:\WINDOWS\system32

11.09.2007 14:04 128.913 OODBS.lor
10.09.2007 20:12 3.002 CONFIG.NT
10.09.2007 19:27 15.872 Thumbs.db
10.09.2007 19:07 13.646 wpa.dbl
06.09.2007 12:09 801.144 aswBoot.exe
06.09.2007 12:00 95.608 AVASTSS.scr
23.08.2007 16:44 403.968 perfh009.dat
23.08.2007 16:44 63.188 perfc009.dat
23.08.2007 16:44 418.970 perfh007.dat
23.08.2007 16:44 76.014 perfc007.dat
23.08.2007 16:44 967.348 PerfStringBackup.INI
03.08.2007 11:58 1.197 lvcoinst.log

Verzeichnis von C:\WINDOWS\Prefetch

11.09.2007 14:09 17.728 CMD.EXE-087B4001.pf
11.09.2007 14:09 70.428 WINRAR.EXE-3588DFE8.pf
11.09.2007 14:07 39.152 MMC.EXE-1AD3CE60.pf
11.09.2007 14:07 15.106 EVENTVWR.EXE-017D42F6.pf
11.09.2007 14:06 84.844 FIREFOX.EXE-1D57670A.pf
11.09.2007 14:06 65.174 CSC.EXE-01730C27.pf
11.09.2007 14:06 9.960 CVTRES.EXE-2329DCD5.pf
11.09.2007 14:06 170.256 WUAUCLT.EXE-399A8E72.pf
11.09.2007 14:06 88.608 FBOXUPD.EXE-201EA6D5.pf
11.09.2007 14:06 61.134 SVCHOST.EXE-3530F672.pf
11.09.2007 14:06 20.794 REGSVR32.EXE-25EEFE2F.pf
11.09.2007 14:06 19.086 LULNCHR.EXE-3904B3C2.pf
11.09.2007 14:06 18.560 ALG.EXE-0F138680.pf
11.09.2007 14:06 11.750 LOGITECHUPDATE.EXE-390C1A65.pf
11.09.2007 14:06 30.728 WMIPRVSE.EXE-28F301A9.pf
11.09.2007 14:06 23.260 SETUP.OVR-10EB9DE2.pf
11.09.2007 14:06 27.122 ASHWEBSV.EXE-091EF0CF.pf
11.09.2007 14:06 13.596 WSCNTFY.EXE-1B24F5EB.pf
11.09.2007 14:06 127.236 ASHMAISV.EXE-24E25810.pf
11.09.2007 14:06 16.720 IMAPI.EXE-0BF740A4.pf
11.09.2007 14:06 1.112.652 NTOSBOOT-B00DFAAD.pf
11.09.2007 13:14 22.820 LOGONUI.EXE-0AF22957.pf
11.09.2007 13:03 18.062 VERCLSID.EXE-3667BD89.pf
11.09.2007 10:03 33.004 ASP_SRV.EXE-235B0FDB.pf
10.09.2007 23:10 21.660 NOTEPAD.EXE-336351A9.pf
10.09.2007 23:04 63.584 DFRGNTFS.EXE-269967DF.pf
10.09.2007 23:04 17.364 DEFRAG.EXE-273F131E.pf
10.09.2007 23:03 707.824 Layout.ini
10.09.2007 22:16 87.226 HL.EXE-12695E1B.pf
10.09.2007 22:15 14.190 STEAM.EXE-1519C437.pf
10.09.2007 20:12 89.702 AVAST.SETUP-2B043760.pf
10.09.2007 20:11 63.492 ASHSIMPL.EXE-007287FE.pf
10.09.2007 20:11 76.458 ASHAVAST.EXE-0274A551.pf
10.09.2007 20:11 41.138 DWWIN.EXE-30875ADC.pf
10.09.2007 19:56 86.278 MSIMN.EXE-0B61806C.pf
10.09.2007 19:41 110.336 MSIEXEC.EXE-2F8A8CAE.pf
10.09.2007 19:27 106.238 ASHQUICK.EXE-13F2975D.pf
10.09.2007 19:00 29.746 FXSVR2.EXE-060F7A64.pf
10.09.2007 19:00 37.078 ALBUMDB2.EXE-36D06D95.pf
10.09.2007 18:55 17.902 RUNDLL32.EXE-451FC2C0.pf
10.09.2007 18:51 95.124 FIREFOX.EXE-17EE503B.pf
10.09.2007 18:50 26.902 CONTROL.EXE-013DBFB5.pf
10.09.2007 18:49 155.132 DUMPREP.EXE-1B46F901.pf
10.09.2007 18:47 83.280 REGISTRYCLEANER.EXE-17B6D63B.pf
10.09.2007 18:46 73.108 SYSTEMOPTIMIZER.EXE-2D3174F1.pf
10.09.2007 18:45 69.772 STARTUPMANAGER.EXE-2D368FFC.pf
10.09.2007 18:45 48.974 INTEGRATOR.EXE-3967D297.pf
10.09.2007 18:45 45.990 UPDATEWIZARD.EXE-13F4E8AB.pf
10.09.2007 18:44 36.718 TASKMGR.EXE-20256C55.pf
10.09.2007 18:34 31.148 ASHCHEST.EXE-057D57A0.pf
10.09.2007 18:32 30.424 ASHLOGV.EXE-087E43E0.pf
10.09.2007 18:27 22.136 RUNDLL32.EXE-2341BBC5.pf
10.09.2007 18:27 16.782 RUNDLL32.EXE-268BFF96.pf
10.09.2007 18:27 87.792 IEXPLORE.EXE-2CA9778D.pf
10.09.2007 18:26 28.396 FRITZDSL.EXE-1F72B4F2.pf
10.09.2007 18:05 154.016 WMPLAYER.EXE-09969333.pf
10.09.2007 16:08 71.602 IMONNT.EXE-1C2156E2.pf
10.09.2007 13:16 7.660 EXAMPLE1.EXE-036E71EA.pf
10.09.2007 13:16 7.688 EXAMPLE2.EXE-0FF5A1C1.pf
10.09.2007 13:15 28.260 MARIA.EXE-248108C7.pf
09.09.2007 20:26 28.548 WORDPAD.EXE-1EFCC5C1.pf
09.09.2007 19:26 72.918 HELPSVC.EXE-2878DDA2.pf
09.09.2007 17:03 29.608 RUNDLL32.EXE-448CEA99.pf
09.09.2007 16:56 56.412 HL.EXE-2CBA9AA6.pf
09.09.2007 16:52 94.010 WINAMP.EXE-08C38ED9.pf
09.09.2007 16:39 73.296 VLC.EXE-29851A71.pf
09.09.2007 16:30 12.936 ALHLP.EXE-3540EC45.pf
09.09.2007 14:21 5.580 LOADER.EXE-06E3A1E7.pf
09.09.2007 14:21 62.798 HL.EXE-08A20175.pf
09.09.2007 13:52 44.892 MM2.EXE-157C600F.pf
09.09.2007 13:34 37.188 CONFIG.EXE-354B8542.pf
09.09.2007 13:32 54.558 SGM_1_1_SETUP.EXE-0AD79869.pf
09.09.2007 12:00 54.620 SGTC_F1.0_FULL.EXE-2D6317FA.pf
09.09.2007 11:52 56.078 CS15FORSTEAM12.EXE-35DB7921.pf
09.09.2007 11:48 22.500 PMODESETUP.EXE-15936BFE.pf
08.09.2007 21:40 25.668 MP3LIST_GENERATOR.EXE-1FCFD9BE.pf
08.09.2007 21:39 51.124 UNZIP.EXE-222CCA9E.pf
08.09.2007 21:39 3.992 RIPENT.EXE-25B3FB15.pf
08.09.2007 21:36 55.378 SVENCOOP30FULL.EXE-090E5AE5.pf
08.09.2007 19:57 30.390 HPZENG10.EXE-0D4F2286.pf
08.09.2007 19:57 18.988 HPZSTW10.EXE-36BBF3EE.pf
08.09.2007 19:57 37.512 HPZSTC10.EXE-154D2CBA.pf
08.09.2007 19:57 19.300 HPDARC.EXE-25DD680A.pf
08.09.2007 19:55 65.302 ACRORD32.EXE-153330F0.pf
08.09.2007 17:26 88.814 ICQ.EXE-3425F561.pf
08.09.2007 17:26 56.850 ICQUPDATER.EXE-270E43E3.pf
08.09.2007 15:53 15.748 ESFB123.EXE-16E1BB93.pf
08.09.2007 14:23 39.300 RUNDLL32.EXE-2748FCF2.pf
08.09.2007 14:20 35.754 HL.EXE-2B7A4264.pf
08.09.2007 13:55 72.966 WINWORD.EXE-3395695A.pf
08.09.2007 13:44 49.526 SMAGENT.EXE-3A3B0271.pf
08.09.2007 13:13 81.678 QIP.EXE-071FCCCB.pf
07.09.2007 19:50 80.620 RUNDLL32.EXE-16897684.pf
07.09.2007 14:51 57.242 ADOBEUPDATER.EXE-370FC314.pf
07.09.2007 10:28 81.018 EXCEL.EXE-0DC93B7A.pf
06.09.2007 20:43 173.942 WMPLAYER.EXE-09969338.pf
06.09.2007 19:30 40.846 RUNDLL32.EXE-2E7B0CF2.pf
06.09.2007 16:56 63.704 SETUP_WM.EXE-19AC5A9B.pf
06.09.2007 15:53 26.674 SDP.EXE-1579936D.pf
06.09.2007 15:52 122.000 WMPLAYER.EXE-09969332.pf
06.09.2007 14:26 60.972 RUNDLL32.EXE-132B2031.pf
05.09.2007 18:22 24.994 RUNDLL32.EXE-1B943EBB.pf
05.09.2007 18:16 18.014 SETUP.EXE-393E66AE.pf
05.09.2007 18:16 5.378 AUTORUN.EXE-055703AF.pf
05.09.2007 18:16 6.422 AUTORUN.EXE-07306734.pf
04.09.2007 15:13 25.650 RUNDLL32.EXE-3510E5F7.pf
03.09.2007 20:00 51.338 MSOHELP.EXE-1569BB06.pf
03.09.2007 16:04 61.932 HL2.EXE-15332822.pf
03.09.2007 15:57 16.550 BERG.EXE-0789E338.pf
03.09.2007 14:17 19.952 TALKBACK.EXE-285ECAB7.pf
02.09.2007 20:25 29.084 MIRC.EXE-2490861F.pf
02.09.2007 20:25 15.188 AGENTSVR.EXE-002E45AB.pf
02.09.2007 18:23 33.288 FFMPEG.EXE-1D6F214E.pf
02.09.2007 17:45 48.844 VDOWNLOADER.EXE-323024E2.pf
02.09.2007 16:43 73.946 FIFA08 DEMO.EXE-20897EF4.pf
02.09.2007 15:37 16.422 DEMOEXPANDER.EXE-09F5E23D.pf
02.09.2007 15:18 18.938 FAHRSCHULE.EXE-332E8440.pf
02.09.2007 15:18 16.364 UNINS000.EXE-15747318.pf
02.09.2007 15:18 15.542 _IU14D2N.TMP-1E7471B9.pf
01.09.2007 19:31 23.948 LISTENSERVER-ERWEITERUNGSSYST-2C0599EB.pf
01.09.2007 19:30 16.740 AU_.EXE-1BCD9499.pf
01.09.2007 19:30 16.398 DEINSTALLIERE ERWEITERUNGSSYS-1BE08DEB.pf
01.09.2007 17:16 14.554 FIFA08_PC_DEMO.EXE-2436E6FC.pf
01.09.2007 17:14 13.338 EASETUP.EXE-112F687B.pf
01.09.2007 17:14 19.022 AUTORUN.EXE-30C19273.pf
01.09.2007 17:10 75.194 EXPLORER.EXE-082F38A9.pf
01.09.2007 15:04 28.272 LEECHER.EXE-27D9185A.pf
01.09.2007 15:02 16.728 S2 SATSTRAT (TAKTIKPLANER) V1-1A7B02EA.pf
31.08.2007 18:13 29.476 MSPAINT.EXE-11CBB631.pf
31.08.2007 18:09 66.324 FILE.EXE-0E27A538.pf

Verzeichnis von C:\WINDOWS\tasks

11.09.2007 14:04 6 SA.DAT
07.09.2007 17:16 396 1-Klick-Wartung.job
04.08.2004 14:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

11.09.2007 14:04 16.384 Perflib_Perfdata_6c8.dat
10.09.2007 19:07 16.384 Perflib_Perfdata_5a4.dat
14.08.2007 00:24 9.986 NetFxUpdate_v1.1.4322.log
17.07.2007 17:33 616.448 y0x9uc5v.TMP

Verzeichnis von C:\DOKUME~1\Malte\LOKALE~1\Temp

11.09.2007 14:09 137.584 filelist.txt
11.09.2007 14:05 49.152 ~DFB88E.tmp
11.09.2007 14:05 38.547 LVCOMSX.LOG
11.09.2007 13:02 49.152 ~DFC628.tmp
11.09.2007 10:02 49.152 ~DF8A96.tmp
10.09.2007 22:09 49.152 ~DF9EFE.tmp
10.09.2007 22:07 28.658.036 clipboardcache-1
10.09.2007 22:05 28.658.036 clipboardcache
10.09.2007 22:04 14.453.322 MWAV.LOG
10.09.2007 22:02 1.909.049 MWAVC.LOG
10.09.2007 22:02 85.494 mwXface.log
10.09.2007 20:20 196 sfdb.dat
10.09.2007 20:20 489 EUpdate.ini
10.09.2007 20:20 106 IUpdate.ini
10.09.2007 20:20 1.592 Download.log
10.09.2007 20:20 0 success.sem
10.09.2007 20:20 3.744 avp_ext.set
10.09.2007 20:20 3.744 avp.set
10.09.2007 20:20 6.264 update.txt
10.09.2007 20:20 822 remove.ini
10.09.2007 20:20 56.057 phupdn.txz
10.09.2007 20:20 120.813 krnunp.avc
10.09.2007 20:20 227 httpsite.txt
10.09.2007 20:20 111 ftpsites.txt
10.09.2007 20:20 23.285 fa001.avc
10.09.2007 20:20 22.730 dailyc.avc
10.09.2007 20:20 61.214 daily.avc
10.09.2007 20:20 2.419 daily-ex.avx
10.09.2007 20:20 2.419 daily-ex.avc
10.09.2007 20:20 4.739 daily-ec.avc
10.09.2007 20:20 78.810 ca.avc
10.09.2007 20:20 26.931 avp.klb
10.09.2007 20:20 1.047 00184597.key
10.09.2007 20:20 1.016 00184596.key
10.09.2007 20:20 5.706 filelist.lst
10.09.2007 20:19 626.688 msvcr80.dll
10.09.2007 20:19 548.864 msvcp80.dll
10.09.2007 20:19 241.664 MYDB.DLL
10.09.2007 19:09 49.152 ~DF23D6.tmp
10.09.2007 18:04 49.152 ~DFE1AE.tmp
10.09.2007 16:07 49.152 ~DF5C6B.tmp
10.09.2007 13:38 427.584 mexe.com
10.09.2007 13:38 427.584 mwavscan.com
10.09.2007 13:21 49.152 ~DFC56E.tmp
10.09.2007 13:16 111.832 example1.exe
10.09.2007 13:16 49.152 ~DF5027.tmp
10.09.2007 13:16 77.824 example2.exe
10.09.2007 11:33 188.852 phupdn.txt
10.09.2007 11:19 18.427 global.daz
10.09.2007 11:16 19.285 ext009.avc
10.09.2007 11:16 47.213 base151.avc
10.09.2007 11:16 654 base152.avc
10.09.2007 11:16 426 base049c.avc
10.09.2007 11:16 727 ext005c.avc
10.09.2007 11:16 21.865 base048c.avc
10.09.2007 08:44 49.152 ~DF7D0E.tmp
09.09.2007 21:14 38.912 unregx.exe
09.09.2007 21:13 43.520 setpriv.exe
09.09.2007 21:10 166.400 esupdate.exe
09.09.2007 21:08 122.880 avpmhook.dll
09.09.2007 20:36 1.949.696 msvl64.dll
09.09.2007 20:30 143.360 msvlclnt.dll
09.09.2007 20:27 44.608 Getvlist.exe
09.09.2007 16:05 0 4z0D3.tmp
09.09.2007 14:44 17.800 9049_appcompat.txt
09.09.2007 14:34 34.015 fa.avc
09.09.2007 14:34 50.162 base150.avc
09.09.2007 14:34 50.938 base144.avc
09.09.2007 14:34 42.507 ext004c.avc
09.09.2007 14:34 39.538 krn004.avc
09.09.2007 13:48 1.671.551 5gf0vihf.exe
09.09.2007 11:20 49.152 ~DF8A9B.tmp
08.09.2007 13:43 49.152 ~DF8E75.tmp
08.09.2007 13:06 49.152 ~DFBD4C.tmp
07.09.2007 19:52 0 p272D.tmp
07.09.2007 18:52 49.152 ~DF8CB7.tmp
07.09.2007 13:05 48.722 unp034.avc
07.09.2007 13:05 48.272 unp038.avc
07.09.2007 13:05 48.948 unp030.avc
07.09.2007 13:05 48.418 ext002c.avc
07.09.2007 13:05 49.974 base047c.avc
07.09.2007 13:05 50.057 base046c.avc
07.09.2007 13:05 50.058 base045c.avc
07.09.2007 09:37 49.152 ~DF957C.tmp
06.09.2007 19:33 247.506 spydb.old
06.09.2007 19:33 1.266.175 Cid.sdb
06.09.2007 19:33 724.947 Dir.sdb
06.09.2007 19:33 247.506 spydb.avs
06.09.2007 19:33 1.191.579 File2.sdb
06.09.2007 19:33 160.784 Spyware.sdb
06.09.2007 19:33 2.067.636 File1.sdb
06.09.2007 16:34 4.286 xprt4303.ico
06.09.2007 16:31 4.286 xprt5474.ico
06.09.2007 16:27 4.286 xprt2cca.ico
06.09.2007 16:07 4.286 xprt478e.ico
06.09.2007 11:45 49.152 ~DF8B92.tmp
06.09.2007 10:34 49.152 ~DF768F.tmp
05.09.2007 11:55 49.152 ~DFB974.tmp
05.09.2007 09:54 65.394 unp035.avc
05.09.2007 09:54 48.871 base091.avc
05.09.2007 09:54 50.807 unp005.avc
05.09.2007 09:54 49.316 base055.avc
05.09.2007 09:54 49.107 base059.avc
05.09.2007 09:54 49.223 base037.avc
05.09.2007 09:54 48.563 base010.avc
05.09.2007 09:54 48.882 base011.avc
05.09.2007 09:54 49.889 base037c.avc
05.09.2007 09:54 50.070 base044c.avc
05.09.2007 09:54 32.013 krnexe.avc
04.09.2007 19:43 32.644 AAX6D.tmp
04.09.2007 16:22 0 pk95D.tmp
04.09.2007 16:22 0 45v5C.tmp
04.09.2007 13:48 90.996 Chinese.Age
04.09.2007 13:48 110.439 Icelandic.Age
04.09.2007 13:48 115.349 Polish.Age
04.09.2007 13:48 112.207 Finnish.Age
04.09.2007 13:48 116.504 French.Age
04.09.2007 13:48 115.397 Spanish.Age
04.09.2007 13:48 116.118 Spanishl.Age
04.09.2007 13:48 111.149 Romanian.Age
04.09.2007 13:48 124.130 Portuguese.Age
04.09.2007 13:48 122.760 Italian.Age
04.09.2007 13:48 125.551 German.Age
04.09.2007 13:48 125.551 language.ini
04.09.2007 11:05 49.152 ~DF84E4.tmp
03.09.2007 12:28 42.227 unp032.avc
03.09.2007 12:28 48.186 unp033.avc
03.09.2007 12:28 49.035 base149.avc
03.09.2007 12:28 50.048 base041c.avc
03.09.2007 12:28 49.807 base042c.avc
03.09.2007 12:28 49.886 base040c.avc
03.09.2007 12:28 50.067 base043c.avc
03.09.2007 12:28 50.091 base038c.avc
03.09.2007 12:28 49.954 base039c.avc
03.09.2007 12:28 11.542 ocr.avc
03.09.2007 09:48 1.132 01FA0F93.key
31.08.2007 10:15 78.840 krnexe32.avc
29.08.2007 10:26 29.901 gen001.avc
29.08.2007 10:26 49.792 base113.avc
29.08.2007 10:26 48.775 base006.avc
29.08.2007 10:26 49.810 base069.avc
29.08.2007 10:26 48.999 base008.avc
29.08.2007 10:26 153.274 krnmacro.avc
29.08.2007 10:26 72.335 krn001.avc
29.08.2007 10:26 12.807 kernel.avc
28.08.2007 10:06 63.767 unp023.avc
28.08.2007 10:06 23.927 unp021.avc
28.08.2007 10:06 25.749 unp004.avc
28.08.2007 10:06 49.848 base052.avc
28.08.2007 10:06 49.692 base111.avc
28.08.2007 10:06 49.846 base049.avc
28.08.2007 10:06 48.314 base016.avc
28.08.2007 10:06 49.623 base024.avc
28.08.2007 10:06 48.023 base002.avc
28.08.2007 10:06 49.114 base004.avc
28.08.2007 10:06 49.800 base015c.avc
26.08.2007 18:13 31.653 unp017.avc
26.08.2007 18:13 47.828 unp037.avc
26.08.2007 18:13 69.675 unp002.avc
26.08.2007 18:13 49.170 base099.avc
26.08.2007 13:56 36.864 CmdLineExt02.dll
26.08.2007 13:15 11.245 English.con
24.08.2007 11:20 51.868 English.Age
23.08.2007 16:34 48.907 unp027.avc
23.08.2007 16:34 48.747 unp009.avc
23.08.2007 16:34 53.336 unp008.avc
23.08.2007 16:34 48.569 base009.avc
23.08.2007 16:34 49.530 base005.avc
23.08.2007 13:58 1.895 Portuguese.tcp
23.08.2007 13:52 7.844 Portuguese.lic
21.08.2007 12:23 14.231 mail.avx
21.08.2007 12:23 14.231 mail.avc
21.08.2007 12:23 49.640 base035c.avc
21.08.2007 12:23 49.821 base036c.avc
19.08.2007 18:31 8.759 Chinese.con
18.08.2007 10:25 36.871 gen002.avc
18.08.2007 10:25 21.353 gen005.avc
18.08.2007 10:25 37.383 unp031.avc
18.08.2007 10:25 65.836 unp010.avc
18.08.2007 10:25 38.822 unp028.avc
18.08.2007 10:25 75.943 unp007.avc
18.08.2007 10:25 49.402 base130.avc
18.08.2007 10:25 49.872 base128.avc
18.08.2007 10:25 49.583 base114.avc
18.08.2007 10:25 49.648 base029.avc
18.08.2007 10:25 29.818 krnengn.avc
18.08.2007 10:25 46.823 krnjava.avc
16.08.2007 12:46 5.849 Portuguese.dow
16.08.2007 12:40 8.114 English.lic
16.08.2007 11:40 12.741 Portuguese.con
16.08.2007 09:59 30.137 gen999.avc
16.08.2007 09:59 39.828 unp026.avc
16.08.2007 09:59 30.291 unp024.avc
16.08.2007 09:59 38.132 unp020.avc
16.08.2007 09:59 36.012 unp025.avc
16.08.2007 09:59 53.972 unp003.avc
16.08.2007 09:59 49.493 base143.avc
16.08.2007 09:59 49.506 base134.avc
16.08.2007 09:59 50.657 base109.avc
16.08.2007 09:59 50.374 base034c.avc
16.08.2007 09:59 50.014 base032c.avc
16.08.2007 09:59 49.990 base033c.avc
13.08.2007 21:55 50.138 base148.avc
13.08.2007 21:55 50.023 base147.avc
13.08.2007 21:55 50.265 ext003c.avc
13.08.2007 18:13 17.910 unp029.avc

Verzeichnis von C:\WINDOWS

11.09.2007 14:05 0 0.log
11.09.2007 14:05 159 wiadebug.log
11.09.2007 14:05 50 wiaservc.log
11.09.2007 14:05 1.304.155 WindowsUpdate.log
11.09.2007 14:04 2.048 bootstat.dat
11.09.2007 13:14 32.582 SchedLgU.Txt
11.09.2007 13:07 54.156 QTFont.qfn
10.09.2007 20:20 50 Lic.xxx
10.09.2007 20:20 1.460 win.ini
10.09.2007 20:17 84.986 ntbtlog.txt
10.09.2007 19:30 116 NeroDigital.ini
10.09.2007 19:27 13.312 Thumbs.db
10.09.2007 19:23 227 system.ini
10.09.2007 18:30 1.023.453 setupapi.log
06.09.2007 16:56 94.194 wmsetup.log
05.09.2007 11:56 35 antispam_stat.ini
01.09.2007 19:32 754 WORDPAD.INI
01.09.2007 17:14 368.548 DirectX.log
23.08.2007 15:58 194.971 setupact.log
14.08.2007 00:23 609.418 iis6.log
14.08.2007 00:23 186.053 comsetup.log
14.08.2007 00:23 111.015 ntdtcsetup.log
14.08.2007 00:23 29.271 ocmsn.log
14.08.2007 00:23 1.374 imsins.log
14.08.2007 00:23 247.151 tsoc.log
14.08.2007 00:23 27.418 tabletoc.log
14.08.2007 00:23 12.494 KB936357.log
14.08.2007 00:23 26.827 msgsocm.log
14.08.2007 00:23 259.676 ocgen.log
14.08.2007 00:23 93.762 netfxocm.log
14.08.2007 00:23 37.198 MedCtrOC.log
14.08.2007 00:23 546.100 FaxSetup.log
14.08.2007 00:23 168.986 msmqinst.log

Zu dem Neuaufsetzen muss ich sagen, das ich es halt vorhab aber es noch dauern kann bis ich mal Zeit dazu finde. Offline kann ich eig nicht bleiben, da ich hauptsächlich online Spiel wenn ich am PC bin. Hauptsächlich ging es mir ja darum, ob die beiden Viren die ich zuerst gepostet habe jetzt weg sind. Oder doch wieder da sind durch die Systemwiederherstellung.

Kann ich mir eigentlich trotzdem die Musik etc. von meinem Rechener kopieren oder kann das auch infiziert sein?

cosinus · 11.09.2007, 13:32

Ich fürchte, du solltest nicht allzu lang zögern mit dem Neuaufsetzen:

C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\AVASTSS.scr

Werte diese Dateien mal bei Virustotal aus und poste die Ergebnisse.
Eine Google-Suche nach aswboot.exe ergibt erschreckend viele Hinweise auf eine Backdoor-Malware.

Zitat:

Kann ich mir eigentlich trotzdem die Musik etc. von meinem Rechener kopieren oder kann das auch infiziert sein?

Reine Datendateien kann man eigentlich immer sichern und so gut wie gefahrlos zurückspielen, da ja kein ausführbarer Code dabei ist. Es empfiehlt sich aber, das Sichern von einem Rettungssystem auszuführen, so würde ich es jedenfalls machen, damit keine Malware den Backupvorgang beeinflussen kann.

jayxxl · 11.09.2007, 13:50

Datei AVASTSS.scr empfangen 2007.09.11 14:40:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/32 (6.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.11 -
AntiVir 7.6.0.5 2007.09.11 -
Authentium 4.93.8 2007.09.11 -
Avast 4.7.1043.0 2007.09.10 -
AVG 7.5.0.485 2007.09.10 -
BitDefender 7.2 2007.09.11 -
CAT-QuickHeal 9.00 2007.09.11 -
ClamAV 0.91.2 2007.09.11 -
DrWeb 4.33 2007.09.11 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5126 2007.09.11 -
Ewido 4.0 2007.09.11 -
FileAdvisor 1 2007.09.11 Low threat detected
Fortinet 3.11.0.0 2007.09.11 -
F-Prot 4.3.2.48 2007.09.11 -
F-Secure 6.70.13030.0 2007.09.11 -
Ikarus T3.1.1.12 2007.09.11 Trojan.Win32.Patched.af
Kaspersky 4.0.2.24 2007.09.11 -
McAfee 5116 2007.09.10 -
Microsoft 1.2803 2007.09.11 -
NOD32v2 2521 2007.09.11 -
Norman 5.80.02 2007.09.10 -
Panda 9.0.0.4 2007.09.11 -
Prevx1 V2 2007.09.11 -
Rising 19.40.12.00 2007.09.11 -
Sophos 4.21.0 2007.09.11 -
Sunbelt 2.2.907.0 2007.09.11 -
Symantec 10 2007.09.11 -
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.09 -
VirusBuster 4.3.26:9 2007.09.10 -
Webwasher-Gateway 6.0.1 2007.09.11 -
weitere Informationen
File size: 95608 bytes
MD5: 6f9875f03041f9870eae689e6f67c3ba
SHA1: 4066d4368329f605c5ef40dbae8e07876db2c9e4
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=4bb84d9f3dead6c81d1999ae3d24633c

Wie meinst du das mit einem Rettungssystem?

Kann ich noch bis zum Wochenende warten mit der Formatierung?

cosinus · 11.09.2007, 13:54

Unter Rettungssystem verstehe ich eine Live-CD wie z.B. BartPE oder Knoppix.
Werte die andere Datei auch aus.

Zitat:

Kann ich noch bis zum Wochenende warten mit der Formatierung?

Ich würde kein Risiko eingehen und den Rechner zumidnest vom Internet trennen.

jayxxl · 11.09.2007, 13:58

Datei aswBoot.exe empfangen 2007.09.11 14:37:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.11 -
AntiVir 7.6.0.5 2007.09.11 -
Authentium 4.93.8 2007.09.11 -
Avast 4.7.1043.0 2007.09.10 -
AVG 7.5.0.485 2007.09.10 -
BitDefender 7.2 2007.09.11 -
CAT-QuickHeal 9.00 2007.09.11 -
ClamAV 0.91.2 2007.09.11 -
DrWeb 4.33 2007.09.11 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5126 2007.09.11 -
Ewido 4.0 2007.09.11 -
FileAdvisor 1 2007.09.11 -
Fortinet 3.11.0.0 2007.09.11 -
F-Prot 4.3.2.48 2007.09.11 -
F-Secure 6.70.13030.0 2007.09.11 -
Ikarus T3.1.1.12 2007.09.11 Trojan.Win32.Patched.af
Kaspersky 4.0.2.24 2007.09.11 -
McAfee 5116 2007.09.10 -
Microsoft 1.2803 2007.09.11 -
NOD32v2 2521 2007.09.11 -
Norman 5.80.02 2007.09.10 -
Panda 9.0.0.4 2007.09.11 -
Prevx1 V2 2007.09.11 -
Rising 19.40.12.00 2007.09.11 -
Sophos 4.21.0 2007.09.11 -
Sunbelt 2.2.907.0 2007.09.11 -
Symantec 10 2007.09.11 -
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.09 -
VirusBuster 4.3.26:9 2007.09.10 -
Webwasher-Gateway 6.0.1 2007.09.11 -
weitere Informationen
File size: 801144 bytes
MD5: 6b1ffecf1db705938267156c261e8a65
SHA1: add99d51609624537e594a8de85f5f2613d18e1f

cosinus · 11.09.2007, 14:22

Ich seh gerade, die Dateien können auch gut von avast stammen. Hab den leider nicht installiert und kann es somit nicht überprüfen

10.09.2007, 19:11	#2
undoreal /// AVZ-Toolkit Guru	svp322.dll Halli hallo. Erstelle bitte ein eScan log. Anleitung dazu findest du in meiner Signatur.. PS: Ich kann dich schon mal beruhigen.. dein log sieht sauber aus.. Gruß Undoreal __________________ __________________

10.09.2007, 22:12	#6
undoreal /// AVZ-Toolkit Guru	svp322.dll So wird es gemacht. __________________ --> svp322.dll

11.09.2007, 14:22	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	svp322.dll Ich seh gerade, die Dateien können auch gut von avast stammen. Hab den leider nicht installiert und kann es somit nicht überprüfen __________________ Logfiles bitte immer in CODE-Tags posten

10.09.2007, 22:09	#5
jayxxl	svp322.dll blacklight hat nix gefunden. Also ich hatte mal Warcaraft 3: The Froze Throne installiert. Ich hab es jetzt aber auf eine externen Festplatte rübergezogen. Wie meinst du das mit Systemwiederherstellung deaktivieren?

svp322.dll

Log-Analyse und Auswertung: svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll

svp322.dll