|
Plagegeister aller Art und deren Bekämpfung: Probleme mit ein paar exenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.09.2007, 14:40 | #1 |
| Probleme mit ein paar exen Hi, seit einiger Zeit spinnt mein Computer irgendwie ein bisschen: 1. Immer wenn ich ihn herunterfahre hängen sich alle möglichen exen auf und man muss 1000 mal Sofort beenden drücken bis er endlich mal runterfährt. 2. Im Task-Manager sind immer 2 IEXPLORER.exe aktiv, von der eine oftmals 100% der resourcen braucht. Wenn ich Rechtsklick und beenden drücke ist sie nach 2 Sekunden wieder aktiv. 3. Kommen ziemlich oft einfach so Pop-ups vom Internet Explorer, auch wenn ich garnicht am surfen bin, sondern z.b. nur Musik höre und alle Browser geschlossen sind. 4. Hab ich so eine exe Namens Pop Balm.exe in den versteckten Dateien gefunden und hab sie mal bei virustotal.com überprüfen lassen und wenn ich das richtig lese ist das ein Trojaner oder? http://www.virustotal.com/de/resultado.html?c4213f2f7f2a3ec1033fde36c5de54da AhnLab-V3 2007.9.29.0 2007.09.28 - AntiVir 7.6.0.18 2007.09.28 - Authentium 4.93.8 2007.09.29 - Avast 4.7.1043.0 2007.09.29 - AVG 7.5.0.488 2007.09.30 - BitDefender 7.2 2007.09.30 Trojan.FatObfus.2.Gen CAT-QuickHeal 9.00 2007.09.29 - ClamAV 0.91.2 2007.09.30 - DrWeb 4.33 2007.09.30 Trojan.Packed.149 eSafe 7.0.15.0 2007.09.29 - eTrust-Vet 31.2.5174 2007.09.30 - Ewido 4.0 2007.09.30 - FileAdvisor 1 2007.09.30 - Fortinet 3.11.0.0 2007.09.30 - F-Prot 4.3.2.48 2007.09.29 - F-Secure 6.70.13030.0 2007.09.29 Trojan.Win32.Obfuscated.en Ikarus T3.1.1.12 2007.09.30 not-a-virus:AdWare.Win32.Lop.ag Kaspersky 7.0.0.125 2007.09.30 Trojan.Win32.Obfuscated.en McAfee 5130 2007.09.28 - Microsoft 1.2803 2007.09.30 - NOD32v2 2560 2007.09.30 - Norman 5.80.02 2007.09.28 - Panda 9.0.0.4 2007.09.30 Suspicious file Prevx1 V2 2007.09.30 Heuristic: Suspicious Self Modifying File Rising 19.42.61.00 2007.09.30 - Sophos 4.22.0 2007.09.30 - Sunbelt 2.2.907.0 2007.09.28 VIPRE.Suspicious Symantec 10 2007.09.30 - TheHacker 6.2.6.073 2007.09.28 - VBA32 3.12.2.4 2007.09.30 MalwareScope.Trojan-Downloader.Obfuscated.2 VirusBuster 4.3.26:9 2007.09.29 - Webwasher-Gateway 6.0.1 2007.09.28 Win32.Malware.gen (suspicious) 5. Ad-Aware, Spybot und Norton finden selbstverständlich nichts (trotz Update!) Kann das vielleicht sein, dass ich seit langem ohne Firewall im Internet herumgeister?^^ Bitte helft mir!! |
30.09.2007, 16:01 | #2 |
Probleme mit ein paar exen Mache als erstes Bitte ein Hijackthis-Log!
__________________Mfg
__________________ |
30.09.2007, 16:06 | #3 |
Gesperrt | Probleme mit ein paar exen und so gehts:
__________________Erstellung eines Hijacklog -Downloade dir Hijackthis. -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. |
30.09.2007, 17:04 | #4 |
| Probleme mit ein paar exen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:00:02, on 30.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\MsPMSPSv.exe E:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\This.com.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Regs blah] C:\DOKUME~1\Besitzer\ANWEND~1\DASHKN~1\Media Locks.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O20 - AppInit_DLLs: cdmovirt.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe -- End of file - 5411 bytes Links oder Namen hab ich keine gefunden, bitte drauf hinweisen wenn ich sie übersehen hab^^ |
30.09.2007, 17:20 | #5 |
Gesperrt | Probleme mit ein paar exen was mir jetzt schon mal als erstes auffällt ist, dass du windows xp sp1 hast. das solltest du schnell auf sp2 updaten. |
30.09.2007, 17:38 | #6 |
| Probleme mit ein paar exen hatte ich schonmal, aber dann gingen einige programme nichtmehr und ich konnte meinen computer nichtmehr runterfahren. war aber schon vor ewigkeiten, mittlerweile wurden bestimmt einige fehler behoben oder?^^ |
30.09.2007, 17:41 | #7 |
Gesperrt | Probleme mit ein paar exen ja also ich hab sp2 und merke keine probleme. da wurde bestimmt einiges behoben. das wäre halt ein tipp von mir. mit dem sp2. bei deinem problem muss dir jemand anderes helfen. |
30.09.2007, 18:25 | #8 |
| Probleme mit ein paar exen Hallo Mach mal bitte alle versteckten Dateien und Ordner sichtbar. Der Swizzor den du gefunden hast, ist dein kleineres Problem, lass mal diese Datei hier : cdmovirt.dll <-- bitte suchen hier Virustotal hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
30.09.2007, 21:01 | #9 |
| Probleme mit ein paar exen hm, irgendwie kann ich die datei cdmovirt.dll nicht finden (mit der windows suche natürlich), obwohl ich das versteckte dateien anzeigen so gemacht hat wies im link von dir steht dafür hab ich jetzt nochmal einen hijack-log gemacht, aber irgendwie hat das verteckte ordner anzeigen glaub ichz nicht so viel verändert^^ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:55:26, on 30.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ICQLite\ICQLite.exe E:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Trend Micro\HijackThis\This.com.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Regs blah] C:\DOKUME~1\Besitzer\ANWEND~1\DASHKN~1\Media Locks.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O20 - AppInit_DLLs: cdmovirt.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe -- End of file - 5314 bytes |
30.09.2007, 21:05 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit ein paar exen Hallo. Möglicherweise wurde die Datei schon entfernt oder aber die versteckt sich auf noch perfidere Art und Weise. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanUnd mach bitte ein Filelist: 1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2007, 21:27 | #11 |
| Probleme mit ein paar exen Blacklight kann ich irgendwie nicht starten Hier die Filelist: Verzeichnis von C:\ 01.10.2007 22:10 1.608.192.000 pagefile.sys 30.09.2007 15:17 194 boot.ini Verzeichnis von C:\WINDOWS\system32 01.10.2007 15:47 384 DVCStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.dat 01.10.2007 15:47 384 DVCState-{00000000-00000000-00000009-00001102-00000004-20021102}.dat 01.10.2007 15:47 1.080 settings.sfm 01.10.2007 15:47 1.080 settingsbkup.sfm 01.10.2007 15:47 32.088 BMXBkpCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 01.10.2007 15:47 32.592 BMXStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 01.10.2007 15:47 32.088 BMXCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 01.10.2007 15:47 32.592 BMXState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 29.09.2007 20:18 144.424 FNTCACHE.DAT 22.09.2007 15:11 2.206 wpa.dbl Verzeichnis von C:\WINDOWS\Prefetch 01.10.2007 22:20 5.476 FIND.EXE-0EC32F1E.pf 01.10.2007 22:20 7.846 CMD.EXE-087B4001.pf 01.10.2007 22:19 13.602 FSBL.EXE-193AAFAD.pf 01.10.2007 22:19 14.340 NOTEPAD.EXE-336351A9.pf 01.10.2007 22:18 109.372 WINRAR.EXE-3588DFE8.pf 01.10.2007 22:15 111.138 FIREFOX.EXE-00AE1314.pf 01.10.2007 22:14 58.502 GP5.EXE-1256D331.pf 01.10.2007 22:14 16.702 GETPOPUPINFO.EXE-298D30B8.pf 01.10.2007 22:12 941.326 NTOSBOOT-B00DFAAD.pf 01.10.2007 15:47 35.688 LOGONUI.EXE-0AF22957.pf 01.10.2007 15:47 6.940 MEDIA LOCKS.EXE-3B03D54D.pf 01.10.2007 15:41 25.598 WSCRIPT.EXE-32960AB9.pf 01.10.2007 15:38 16.920 TASKMGR.EXE-20256C55.pf 01.10.2007 15:30 53.956 WMIPRVSE.EXE-28F301A9.pf 01.10.2007 15:00 109.194 IEXPLORE.EXE-2CA9778D.pf 01.10.2007 15:00 20.064 POPBAL~1.EXE-2D9EC076.pf 01.10.2007 15:00 18.040 SIGN DOES PURE.EXE-316E1380.pf 01.10.2007 14:54 89.334 WINAMP.EXE-0DA1BB35.pf 01.10.2007 14:05 66.830 ICQLITE.EXE-2AEFACA7.pf 01.10.2007 00:29 14.406 MEDIAL~1.EXE-00482A17.pf 01.10.2007 00:20 24.714 DIVXSM.EXE-3407AB62.pf 30.09.2007 23:56 15.494 CALC.EXE-02CD573A.pf 30.09.2007 23:46 10.208 IMAPI.EXE-0BF740A4.pf 30.09.2007 23:46 106.976 EXPLORER.EXE-082F38A9.pf 30.09.2007 23:46 34.924 DRWTSN32.EXE-2B4B52AC.pf 30.09.2007 23:46 40.720 DWWIN.EXE-30875ADC.pf 30.09.2007 23:40 42.554 GP4.EXE-0183AC13.pf 30.09.2007 22:39 51.480 POWERDVD.EXE-181DA586.pf 30.09.2007 22:38 10.636 RUNDLL32.EXE-451FC2C0.pf 30.09.2007 22:28 24.030 CDBXP.EXE-124962EC.pf 30.09.2007 21:55 20.636 THIS.COM.EXE-176FB626.pf 30.09.2007 17:59 20.014 HIJACKTHIS.EXE-39024128.pf 30.09.2007 17:58 16.350 HJTINSTALL.EXE-24C12777.pf 30.09.2007 17:52 33.316 AD-AWARE.EXE-32F04E15.pf 30.09.2007 15:13 14.848 MSCONFIG.EXE-35E4DAE9.pf 29.09.2007 22:14 32.942 SYNSOPOS.EXE-12A3B87F.pf 29.09.2007 22:14 61.794 CUBASESX3.EXE-233AE4F6.pf 29.09.2007 20:41 27.934 SPYBOTSD.EXE-05E34E47.pf 29.09.2007 20:25 15.226 POP BALM.EXE-3447FA0D.pf 29.09.2007 20:25 14.954 UTVJDQGP.EXE-04E303E6.pf 29.09.2007 20:25 15.846 STA3.EXE-04CCECCD.pf 29.09.2007 20:25 11.468 EPYCNTWG.EXE-0B9221D0.pf 29.09.2007 19:08 7.798 LOGON.SCR-151EFAEA.pf 29.09.2007 17:27 459.676 Layout.ini 29.09.2007 16:54 23.792 PTEDITOR.EXE-0289B972.pf 29.09.2007 15:33 11.740 RUNDLL32.EXE-1F169C44.pf 29.09.2007 15:33 12.948 NOTEPAD.EXE-189578DA.pf 29.09.2007 15:28 29.558 MSIEXEC.EXE-2F8A8CAE.pf 29.09.2007 15:28 13.280 SETUP.EXE-18D3E0AA.pf 29.09.2007 15:14 175.598 DUMPREP.EXE-1B46F901.pf 29.09.2007 14:50 83.966 HELPSVC.EXE-2878DDA2.pf 29.09.2007 14:01 61.590 AVSDVDPLAYER.EXE-2B1CA426.pf 29.09.2007 12:44 11.764 SYQXCYJX.EXE-2B045ADE.pf 28.09.2007 21:56 21.598 RUNDLL32.EXE-4D04FBF9.pf 28.09.2007 21:55 14.126 RUNDLL32.EXE-2847A7ED.pf 28.09.2007 21:55 21.562 RUNDLL32.EXE-163A7C83.pf 28.09.2007 21:48 31.998 SETUP_WM.EXE-19AC5A9B.pf 28.09.2007 21:45 62.988 WMPLAYER.EXE-09969332.pf 28.09.2007 21:28 88.684 WINWORD.EXE-03E188C0.pf 28.09.2007 20:02 10.008 DEFRAG.EXE-273F131E.pf 28.09.2007 20:02 76.908 DFRGNTFS.EXE-269967DF.pf 25.09.2007 17:02 6.700 MSPMSPSV.EXE-159858D5.pf 25.09.2007 17:02 8.474 WDFMGR.EXE-2CF4013B.pf 25.09.2007 17:02 11.240 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf 25.09.2007 17:02 3.724 ATI2SGAG.EXE-034D00DE.pf 24.09.2007 15:16 73.740 OUTLOOK.EXE-2C0AE67F.pf 23.09.2007 14:08 44.478 SURMIXER.EXE-20127AF0.pf 23.09.2007 01:47 11.404 RUNDLL32.EXE-286630E1.pf 22.09.2007 18:29 56.330 ACRORD32.EXE-3AD7BB60.pf 22.09.2007 17:00 9.354 RUNDLL32.EXE-268BFF96.pf 20.09.2007 14:55 14.126 RUNDLL32.EXE-49AB9B51.pf 17.09.2007 16:22 13.132 RUNDLL32.EXE-2F7D2202.pf 17.09.2007 16:22 16.274 RUNDLL32.EXE-47A42AF0.pf 17.09.2007 16:14 13.138 RUNDLL32.EXE-34D4EF2A.pf 16.09.2007 15:40 57.930 ULTIMATE MUGEN.EXE-0BA8264B.pf 15.09.2007 02:27 15.692 DIVXCODECUPDATECHECKER.EXE-37DBCF54.pf 14.09.2007 14:57 6.072 GFDXSYMB.EXE-06EB6A67.pf 14.09.2007 14:57 21.974 WAVEPL~1.EXE-1BCF1EAC.pf 14.09.2007 14:57 15.546 STAA7.EXE-0500265A.pf 14.09.2007 14:56 13.088 AYKHDCWY.EXE-36021AAB.pf 14.09.2007 12:43 11.484 VWQMQZKA.EXE-19248242.pf 13.09.2007 16:08 8.244 DEFWATCH.EXE-290789F9.pf 13.09.2007 16:08 11.452 CTFMON.EXE-0E17969B.pf 13.09.2007 16:08 7.338 CTSVCCDA.EXE-39508B82.pf 13.09.2007 16:08 23.938 LUCOMS~1.EXE-02DB5950.pf 10.09.2007 20:22 101.534 REASON.EXE-3ADB9E7C.pf 10.09.2007 17:50 17.560 CTDETECT.EXE-2501E4F9.pf 10.09.2007 17:50 72.422 CTCMS.EXE-02942F66.pf 10.09.2007 17:50 16.108 EAX.EXE-11F1E4A8.pf 10.09.2007 17:47 46.500 SPKSET.EXE-0866CA31.pf 10.09.2007 17:47 37.480 SPKRCAL.EXE-1E928F0D.pf 10.09.2007 17:46 17.456 RUNDLL32.EXE-1E219C16.pf 10.09.2007 17:46 13.028 SNDVOL32.EXE-383480B7.pf 06.09.2007 16:05 11.752 RUNDLL32.EXE-39066E5C.pf 06.09.2007 14:24 35.414 GPONLINE.EXE-2DDBDB89.pf 06.09.2007 03:17 22.358 NETPUMPER.EXE-0BD7219A.pf 06.09.2007 02:34 16.216 WAVE PLAN.EXE-0D54BC92.pf 06.09.2007 02:34 15.930 TRWVUPZZ.EXE-0EE1259B.pf 06.09.2007 02:33 19.516 64DATA~1.EXE-2933225A.pf 06.09.2007 02:33 20.350 NETPUMPERIEPROXY.EXE-0E1D4CF8.pf 06.09.2007 02:33 14.744 BISB0.EXE-2E703061.pf 06.09.2007 02:33 13.064 REGSVR32.EXE-25EEFE2F.pf 06.09.2007 02:33 9.760 LIGHTCERTGEN.EXE-2A234ACE.pf 06.09.2007 02:33 6.614 SETCERTACL.EXE-192E6D0B.pf 06.09.2007 02:33 14.020 MINIME.EXE-384A041C.pf 06.09.2007 02:33 20.888 INSAF.TMP-36674299.pf 06.09.2007 02:33 12.718 NETPUMPER-1.50-SETUP-0019.EXE-0395D1D3.pf 06.09.2007 02:33 15.904 _IU14D2N.TMP-1D3F44A5.pf 06.09.2007 02:32 12.574 UNINS000.EXE-36B95567.pf 06.09.2007 02:32 4.438 SHUTDOWN.EXE-2C833EF4.pf 06.09.2007 02:32 56.884 RUNDLL32.EXE-2E0FDD21.pf 06.09.2007 02:18 16.212 64 DATA.EXE-0EACA294.pf 06.09.2007 02:18 16.028 JJBITKQO.EXE-0E282A5E.pf 06.09.2007 02:18 22.102 ACEREG~1.EXE-0F45962C.pf 06.09.2007 02:18 15.170 BISA9.EXE-0A0F34C1.pf 06.09.2007 02:17 10.560 LIGHTCERTGEN.EXE-179AB307.pf 06.09.2007 02:17 6.614 SETCERTACL.EXE-3051876F.pf 06.09.2007 02:17 20.560 INSA8.TMP-066938BE.pf 05.09.2007 21:02 20.574 RUNDLL32.EXE-2034A356.pf 05.09.2007 21:01 19.382 RUNDLL32.EXE-30D43DA0.pf Verzeichnis von C:\WINDOWS 01.10.2007 22:11 4.933.320 {00000000-00000000-00000009-00001102-00000004-20021102}.CDF 01.10.2007 22:11 0 0.log 01.10.2007 22:10 2.048 bootstat.dat 01.10.2007 15:47 32.578 SchedLgU.Txt 30.09.2007 15:17 227 system.ini 30.09.2007 15:17 605 win.ini 17.09.2007 16:55 2.307 discwriter.log 17.09.2007 16:54 0 OrangeBurn.log 17.09.2007 16:14 541.160 setupapi.log 03.09.2007 17:22 50 wiaservc.log 03.09.2007 17:22 411 wiadebug.log Verzeichnis von C:\WINDOWS\tasks 01.10.2007 22:10 6 SA.DAT 01.10.2007 15:00 276 AC776AB491851D48.job Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp 01.10.2007 22:20 115.498 filelist.txt 01.10.2007 22:19 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}19144.html 01.10.2007 22:14 512 ~DF9D16.tmp 01.10.2007 22:14 512 ~DF9CFC.tmp 01.10.2007 22:14 512 ~DF9CE2.tmp 01.10.2007 22:14 16.384 ~DF9CF0.tmp 01.10.2007 22:14 16.384 ~DF9D0A.tmp 01.10.2007 22:14 16.384 ~DF9CBC.tmp 01.10.2007 22:14 16.384 ~DF9CD6.tmp 01.10.2007 22:14 512 ~DF9CC8.tmp 01.10.2007 22:12 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15923.html 01.10.2007 22:11 16.384 ~DF55E8.tmp 01.10.2007 22:11 16.384 ~DF495C.tmp 01.10.2007 22:11 512 ~DF4968.tmp 01.10.2007 22:10 202.657 jusched.log 01.10.2007 14:35 0 flaA1.tmp 01.10.2007 14:34 0 fla9C.tmp 01.10.2007 14:27 0 fla98.tmp 01.10.2007 00:24 0 fla11F.tmp 01.10.2007 00:24 0 fla11D.tmp 01.10.2007 00:21 0 fla118.tmp 01.10.2007 00:21 0 fla114.tmp 30.09.2007 22:33 0 cdrA2.tmp 29.09.2007 20:25 575.488 sta3.exe 29.09.2007 17:53 0 fla10A.tmp 29.09.2007 17:52 0 fla106.tmp 29.09.2007 17:51 0 fla104.tmp 29.09.2007 17:51 0 fla102.tmp 29.09.2007 17:51 0 fla100.tmp 29.09.2007 17:51 0 flaFE.tmp 29.09.2007 17:50 0 flaFC.tmp 29.09.2007 17:49 0 flaFA.tmp 29.09.2007 17:49 0 flaF7.tmp 29.09.2007 17:49 0 flaF4.tmp 29.09.2007 17:49 0 flaF2.tmp 29.09.2007 17:49 0 flaF0.tmp 29.09.2007 17:48 0 flaED.tmp 29.09.2007 17:48 0 flaEA.tmp 29.09.2007 17:48 0 flaE8.tmp 29.09.2007 17:47 0 flaE4.tmp 29.09.2007 17:47 0 flaE2.tmp 29.09.2007 17:46 0 flaE0.tmp 29.09.2007 17:46 0 flaDE.tmp 29.09.2007 17:46 0 flaDC.tmp 29.09.2007 17:45 0 flaDA.tmp 29.09.2007 17:44 0 flaD8.tmp 29.09.2007 17:44 0 flaD6.tmp 29.09.2007 17:41 0 flaD2.tmp 29.09.2007 17:41 0 flaD0.tmp 29.09.2007 17:41 0 flaCE.tmp 29.09.2007 17:40 0 flaC6.tmp 29.09.2007 00:08 0 flaCC.tmp 29.09.2007 00:08 0 flaCA.tmp 29.09.2007 00:08 0 flaC8.tmp 29.09.2007 00:06 0 flaC4.tmp 28.09.2007 23:39 0 flaBA.tmp 28.09.2007 23:39 0 flaB6.tmp 28.09.2007 23:39 0 flaB5.tmp 28.09.2007 23:22 0 flaAE.tmp 28.09.2007 22:56 0 flaAC.tmp 28.09.2007 22:56 0 flaAB.tmp 28.09.2007 22:46 0 flaA6.tmp 28.09.2007 21:48 12.818 control.xml 27.09.2007 19:49 0 flaA2.tmp 27.09.2007 19:49 0 flaA0.tmp 27.09.2007 19:48 0 fla9E.tmp 27.09.2007 19:05 0 flaB8.tmp 27.09.2007 18:51 0 fla97.tmp 25.09.2007 18:23 0 flaA5.tmp 23.09.2007 01:47 0 fla96.tmp 20.09.2007 14:46 0 fla95.tmp 18.09.2007 21:00 0 flaB4.tmp 16.09.2007 02:50 0 fla117.tmp 16.09.2007 02:38 0 fla113.tmp 16.09.2007 02:38 0 fla112.tmp 16.09.2007 02:36 0 fla10B.tmp 15.09.2007 23:50 132.769 fj6i4l76.gp3 14.09.2007 17:06 16.384 ~DFCB66.tmp 14.09.2007 17:06 16.384 ~DFC291.tmp 14.09.2007 14:56 536.064 staA7.exe 06.09.2007 16:46 0 fla94.tmp 06.09.2007 02:33 528.896 bisB0.exe 06.09.2007 02:18 528.896 bisA9.exe 03.09.2007 15:43 695 TWAIN.LOG 03.09.2007 15:43 156 Twunk001.MTX 03.09.2007 15:43 3 Twain001.Mtx 02.09.2007 23:10 0 WER16.tmp 02.09.2007 15:10 0 WER2.tmp 01.09.2007 13:01 0 WER13.tmp 01.09.2007 00:07 0 WER1E.tmp 31.08.2007 17:55 0 WER12.tmp 31.08.2007 15:14 0 WER57.tmp Verzeichnis von C:\WINDOWS\Temp Dateien sind wesentlich älter als 30 Tage |
01.10.2007, 21:29 | #12 |
| Probleme mit ein paar exen Silentrunners: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "RemoteCenter" = "C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" ["Creative Technology Ltd"] "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "Regs blah" = "C:\DOKUME~1\Besitzer\ANWEND~1\DASHKN~1\Media Locks.exe" [null data] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data] "SBDrvDet" = "C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r" ["Creative Technology Ltd"] "H2O" = "C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" ["Team H2O"] "CTSysVol" = "C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r" ["Creative Technology Ltd"] "CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"] "CTDVDDET" = "C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" ["Creative Technology Ltd"] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "E:\Programme\Adobe Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "E:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "E:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "E:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "E:\Programme\Microsoft Office 2003\OFFICE11\msohev.dll" [MS] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter" -> {HKLM...CLSID} = "dMCIShell Class" \InProcServer32\(Default) = "E:\Programme\Music Converter\dBpoweramp\dMCShell.dll" ["Illustrate"] "{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions" -> {HKLM...CLSID} = "VpshellEx Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = " cdmovirt.dll" [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] <<!>> NavLogon\DLLName = "C:\WINDOWS\System32\NavLogon.dll" ["Symantec Corporation"] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "E:\Programme\Adobe Reader\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] {FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler" -> {HKLM...CLSID} = "dBpShell Class" \InProcServer32\(Default) = "E:\Programme\Music Converter\dBpoweramp\dBShell.dll" ["Illustrate"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}" -> {HKLM...CLSID} = "VpshellEx Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}" -> {HKLM...CLSID} = "VpshellEx Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "%APPDATA%\Mozilla\Firefox\Desktop Hintergrund.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Besitzer" & "All Users" startup folders: ---------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] Enabled Scheduled Tasks: ------------------------ "AC776AB491851D48" -> launches: "c:\dokume~1\besitzer\anwend~1\dashkn~1\Sign does pure.exe" [null data] "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.exe" ["Creative Technology Ltd"] Symantec AntiVirus Definition Watcher, DefWatch, ""C:\Programme\Symantec AntiVirus\DefWatch.exe"" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS] Canon BJ Language Monitor S450\Driver = "CNMLM2R.DLL" ["CANON INC."] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- (launch time: 2007-10-01 15:41:00) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 347 seconds, including 18 seconds for message boxes) Den e-Scan mach ich gleich. |
01.10.2007, 22:02 | #13 | ||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit ein paar exen Das sieht ziemlich ernüchternd aus! Zitat:
Zitat:
Zitat:
Zitat:
Wenn ich ehrlich bin, solltest du dich auf ein Neuaufsetzen vorbereiten. Ist allemal sicherer und wohl deutlich schneller als eine Bereinigung deines Systems, wohlgemerkt fehlten bei dir auch wichtige Updates.
__________________ Logfiles bitte immer in CODE-Tags posten |
04.10.2007, 14:45 | #14 |
| Probleme mit ein paar exen Also ich habs jetzt mal mit Rootkit Revealer gemacht und da kam folgendes raus: HKLM\SECURITY\Policy\Secrets\SAC* 05.11.2006 20:27 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 05.11.2006 20:27 0 bytes Key name contains embedded nulls (*) HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 26.05.2007 00:45 0 bytes Access is denied. E-Scan kann ich nicht machen weil ichs einfach nicht schaff in den abgesicherten modus zu kommen. Ich habs schon mit mehreren F tasten versucht, das einizige was geht ist das Bios mit F2.. Kann man das nicht auch im normalen Modus machen? |
04.10.2007, 15:02 | #15 |
| Probleme mit ein paar exen also wenns nen trojaner ist hätte dir auch ne firewall wohl nicht viel geholfen jedenfalls wennde die exe selber ausgeführt hast. zweite möglichkeit jemand ist über einen ungeschützten port in deinen pc gelangt und hat den trojaner upgeloadet und selbst aktiviert... |
Themen zu Probleme mit ein paar exen |
100%, 2 iexplorer.exe, ad-aware, aktiv, alle browser, beenden, browser, computer, dateien, exe, firewall, hängen, iexplorer.exe, internet, internet explorer, musik, pop-ups, probleme, rechtsklick, sekunden, spinnt, spybot, surfen, task-manager, trojaner, update, virus, virustotal.com |