Probleme mit ein paar exen

Frost. · 30.09.2007, 14:40

Hi, seit einiger Zeit spinnt mein Computer irgendwie ein bisschen:
1. Immer wenn ich ihn herunterfahre hängen sich alle möglichen exen auf und man muss 1000 mal Sofort beenden drücken bis er endlich mal runterfährt.
2. Im Task-Manager sind immer 2 IEXPLORER.exe aktiv, von der eine oftmals 100% der resourcen braucht. Wenn ich Rechtsklick und beenden drücke ist sie nach 2 Sekunden wieder aktiv.
3. Kommen ziemlich oft einfach so Pop-ups vom Internet Explorer, auch wenn ich garnicht am surfen bin, sondern z.b. nur Musik höre und alle Browser geschlossen sind.
4. Hab ich so eine exe Namens Pop Balm.exe in den versteckten Dateien gefunden und hab sie mal bei virustotal.com überprüfen lassen und wenn ich das richtig lese ist das ein Trojaner oder?

http://www.virustotal.com/de/resultado.html?c4213f2f7f2a3ec1033fde36c5de54da

AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 -
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 -
AVG 7.5.0.488 2007.09.30 -
BitDefender 7.2 2007.09.30 Trojan.FatObfus.2.Gen
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.09.30 -
DrWeb 4.33 2007.09.30 Trojan.Packed.149
eSafe 7.0.15.0 2007.09.29 -
eTrust-Vet 31.2.5174 2007.09.30 -
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 -
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.12 2007.09.30 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 7.0.0.125 2007.09.30 Trojan.Win32.Obfuscated.en
McAfee 5130 2007.09.28 -
Microsoft 1.2803 2007.09.30 -
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.30 Suspicious file
Prevx1 V2 2007.09.30 Heuristic: Suspicious Self Modifying File
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 -
Sunbelt 2.2.907.0 2007.09.28 VIPRE.Suspicious
Symantec 10 2007.09.30 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.30 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.09.29 -
Webwasher-Gateway 6.0.1 2007.09.28 Win32.Malware.gen (suspicious)

5. Ad-Aware, Spybot und Norton finden selbstverständlich nichts (trotz Update!)

Kann das vielleicht sein, dass ich seit langem ohne Firewall im Internet herumgeister?^^ Bitte helft mir!!

.::|||::. · 30.09.2007, 16:01

Mache als erstes Bitte ein Hijackthis-Log!
Mfg

Todward · 30.09.2007, 16:06

und so gehts:
Erstellung eines Hijacklog

-Downloade dir Hijackthis.
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Frost. · 30.09.2007, 17:04

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:02, on 30.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\MsPMSPSv.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\This.com.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Regs blah] C:\DOKUME~1\Besitzer\ANWEND~1\DASHKN~1\Media Locks.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: cdmovirt.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file - 5411 bytes

Links oder Namen hab ich keine gefunden, bitte drauf hinweisen wenn ich sie übersehen hab^^

Todward · 30.09.2007, 17:20

was mir jetzt schon mal als erstes auffällt ist, dass du windows xp sp1 hast. das solltest du schnell auf sp2 updaten.

Frost. · 30.09.2007, 17:38

hatte ich schonmal, aber dann gingen einige programme nichtmehr und ich konnte meinen computer nichtmehr runterfahren. war aber schon vor ewigkeiten, mittlerweile wurden bestimmt einige fehler behoben oder?^^

Todward · 30.09.2007, 17:41

ja also ich hab sp2 und merke keine probleme. da wurde bestimmt einiges behoben. das wäre halt ein tipp von mir. mit dem sp2. bei deinem problem muss dir jemand anderes helfen.

nochdigger · 30.09.2007, 18:25

Hallo

Mach mal bitte alle versteckten Dateien und Ordner sichtbar.
Der Swizzor den du gefunden hast, ist dein kleineres Problem, lass mal diese Datei hier :
cdmovirt.dll <-- bitte suchen
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Frost. · 30.09.2007, 21:01

hm, irgendwie kann ich die datei cdmovirt.dll nicht finden (mit der windows suche natürlich), obwohl ich das versteckte dateien anzeigen so gemacht hat wies im link von dir steht

dafür hab ich jetzt nochmal einen hijack-log gemacht, aber irgendwie hat das verteckte ordner anzeigen glaub ichz nicht so viel verändert^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:26, on 30.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ICQLite\ICQLite.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\This.com.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Regs blah] C:\DOKUME~1\Besitzer\ANWEND~1\DASHKN~1\Media Locks.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: cdmovirt.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file - 5314 bytes

cosinus · 30.09.2007, 21:05

Hallo.

Möglicherweise wurde die Datei schon entfernt oder aber die versteckt sich auf noch perfidere Art und Weise.
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Blacklight
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Frost. · 01.10.2007, 21:27

Blacklight kann ich irgendwie nicht starten

Hier die Filelist:

Verzeichnis von C:\

01.10.2007 22:10 1.608.192.000 pagefile.sys
30.09.2007 15:17 194 boot.ini

Verzeichnis von C:\WINDOWS\system32

01.10.2007 15:47 384 DVCStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.dat
01.10.2007 15:47 384 DVCState-{00000000-00000000-00000009-00001102-00000004-20021102}.dat
01.10.2007 15:47 1.080 settings.sfm
01.10.2007 15:47 1.080 settingsbkup.sfm
01.10.2007 15:47 32.088 BMXBkpCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
01.10.2007 15:47 32.592 BMXStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
01.10.2007 15:47 32.088 BMXCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
01.10.2007 15:47 32.592 BMXState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
29.09.2007 20:18 144.424 FNTCACHE.DAT
22.09.2007 15:11 2.206 wpa.dbl

Verzeichnis von C:\WINDOWS\Prefetch

01.10.2007 22:20 5.476 FIND.EXE-0EC32F1E.pf
01.10.2007 22:20 7.846 CMD.EXE-087B4001.pf
01.10.2007 22:19 13.602 FSBL.EXE-193AAFAD.pf
01.10.2007 22:19 14.340 NOTEPAD.EXE-336351A9.pf
01.10.2007 22:18 109.372 WINRAR.EXE-3588DFE8.pf
01.10.2007 22:15 111.138 FIREFOX.EXE-00AE1314.pf
01.10.2007 22:14 58.502 GP5.EXE-1256D331.pf
01.10.2007 22:14 16.702 GETPOPUPINFO.EXE-298D30B8.pf
01.10.2007 22:12 941.326 NTOSBOOT-B00DFAAD.pf
01.10.2007 15:47 35.688 LOGONUI.EXE-0AF22957.pf
01.10.2007 15:47 6.940 MEDIA LOCKS.EXE-3B03D54D.pf
01.10.2007 15:41 25.598 WSCRIPT.EXE-32960AB9.pf
01.10.2007 15:38 16.920 TASKMGR.EXE-20256C55.pf
01.10.2007 15:30 53.956 WMIPRVSE.EXE-28F301A9.pf
01.10.2007 15:00 109.194 IEXPLORE.EXE-2CA9778D.pf
01.10.2007 15:00 20.064 POPBAL~1.EXE-2D9EC076.pf
01.10.2007 15:00 18.040 SIGN DOES PURE.EXE-316E1380.pf
01.10.2007 14:54 89.334 WINAMP.EXE-0DA1BB35.pf
01.10.2007 14:05 66.830 ICQLITE.EXE-2AEFACA7.pf
01.10.2007 00:29 14.406 MEDIAL~1.EXE-00482A17.pf
01.10.2007 00:20 24.714 DIVXSM.EXE-3407AB62.pf
30.09.2007 23:56 15.494 CALC.EXE-02CD573A.pf
30.09.2007 23:46 10.208 IMAPI.EXE-0BF740A4.pf
30.09.2007 23:46 106.976 EXPLORER.EXE-082F38A9.pf
30.09.2007 23:46 34.924 DRWTSN32.EXE-2B4B52AC.pf
30.09.2007 23:46 40.720 DWWIN.EXE-30875ADC.pf
30.09.2007 23:40 42.554 GP4.EXE-0183AC13.pf
30.09.2007 22:39 51.480 POWERDVD.EXE-181DA586.pf
30.09.2007 22:38 10.636 RUNDLL32.EXE-451FC2C0.pf
30.09.2007 22:28 24.030 CDBXP.EXE-124962EC.pf
30.09.2007 21:55 20.636 THIS.COM.EXE-176FB626.pf
30.09.2007 17:59 20.014 HIJACKTHIS.EXE-39024128.pf
30.09.2007 17:58 16.350 HJTINSTALL.EXE-24C12777.pf
30.09.2007 17:52 33.316 AD-AWARE.EXE-32F04E15.pf
30.09.2007 15:13 14.848 MSCONFIG.EXE-35E4DAE9.pf
29.09.2007 22:14 32.942 SYNSOPOS.EXE-12A3B87F.pf
29.09.2007 22:14 61.794 CUBASESX3.EXE-233AE4F6.pf
29.09.2007 20:41 27.934 SPYBOTSD.EXE-05E34E47.pf
29.09.2007 20:25 15.226 POP BALM.EXE-3447FA0D.pf
29.09.2007 20:25 14.954 UTVJDQGP.EXE-04E303E6.pf
29.09.2007 20:25 15.846 STA3.EXE-04CCECCD.pf
29.09.2007 20:25 11.468 EPYCNTWG.EXE-0B9221D0.pf
29.09.2007 19:08 7.798 LOGON.SCR-151EFAEA.pf
29.09.2007 17:27 459.676 Layout.ini
29.09.2007 16:54 23.792 PTEDITOR.EXE-0289B972.pf
29.09.2007 15:33 11.740 RUNDLL32.EXE-1F169C44.pf
29.09.2007 15:33 12.948 NOTEPAD.EXE-189578DA.pf
29.09.2007 15:28 29.558 MSIEXEC.EXE-2F8A8CAE.pf
29.09.2007 15:28 13.280 SETUP.EXE-18D3E0AA.pf
29.09.2007 15:14 175.598 DUMPREP.EXE-1B46F901.pf
29.09.2007 14:50 83.966 HELPSVC.EXE-2878DDA2.pf
29.09.2007 14:01 61.590 AVSDVDPLAYER.EXE-2B1CA426.pf
29.09.2007 12:44 11.764 SYQXCYJX.EXE-2B045ADE.pf
28.09.2007 21:56 21.598 RUNDLL32.EXE-4D04FBF9.pf
28.09.2007 21:55 14.126 RUNDLL32.EXE-2847A7ED.pf
28.09.2007 21:55 21.562 RUNDLL32.EXE-163A7C83.pf
28.09.2007 21:48 31.998 SETUP_WM.EXE-19AC5A9B.pf
28.09.2007 21:45 62.988 WMPLAYER.EXE-09969332.pf
28.09.2007 21:28 88.684 WINWORD.EXE-03E188C0.pf
28.09.2007 20:02 10.008 DEFRAG.EXE-273F131E.pf
28.09.2007 20:02 76.908 DFRGNTFS.EXE-269967DF.pf
25.09.2007 17:02 6.700 MSPMSPSV.EXE-159858D5.pf
25.09.2007 17:02 8.474 WDFMGR.EXE-2CF4013B.pf
25.09.2007 17:02 11.240 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
25.09.2007 17:02 3.724 ATI2SGAG.EXE-034D00DE.pf
24.09.2007 15:16 73.740 OUTLOOK.EXE-2C0AE67F.pf
23.09.2007 14:08 44.478 SURMIXER.EXE-20127AF0.pf
23.09.2007 01:47 11.404 RUNDLL32.EXE-286630E1.pf
22.09.2007 18:29 56.330 ACRORD32.EXE-3AD7BB60.pf
22.09.2007 17:00 9.354 RUNDLL32.EXE-268BFF96.pf
20.09.2007 14:55 14.126 RUNDLL32.EXE-49AB9B51.pf
17.09.2007 16:22 13.132 RUNDLL32.EXE-2F7D2202.pf
17.09.2007 16:22 16.274 RUNDLL32.EXE-47A42AF0.pf
17.09.2007 16:14 13.138 RUNDLL32.EXE-34D4EF2A.pf
16.09.2007 15:40 57.930 ULTIMATE MUGEN.EXE-0BA8264B.pf
15.09.2007 02:27 15.692 DIVXCODECUPDATECHECKER.EXE-37DBCF54.pf
14.09.2007 14:57 6.072 GFDXSYMB.EXE-06EB6A67.pf
14.09.2007 14:57 21.974 WAVEPL~1.EXE-1BCF1EAC.pf
14.09.2007 14:57 15.546 STAA7.EXE-0500265A.pf
14.09.2007 14:56 13.088 AYKHDCWY.EXE-36021AAB.pf
14.09.2007 12:43 11.484 VWQMQZKA.EXE-19248242.pf
13.09.2007 16:08 8.244 DEFWATCH.EXE-290789F9.pf
13.09.2007 16:08 11.452 CTFMON.EXE-0E17969B.pf
13.09.2007 16:08 7.338 CTSVCCDA.EXE-39508B82.pf
13.09.2007 16:08 23.938 LUCOMS~1.EXE-02DB5950.pf
10.09.2007 20:22 101.534 REASON.EXE-3ADB9E7C.pf
10.09.2007 17:50 17.560 CTDETECT.EXE-2501E4F9.pf
10.09.2007 17:50 72.422 CTCMS.EXE-02942F66.pf
10.09.2007 17:50 16.108 EAX.EXE-11F1E4A8.pf
10.09.2007 17:47 46.500 SPKSET.EXE-0866CA31.pf
10.09.2007 17:47 37.480 SPKRCAL.EXE-1E928F0D.pf
10.09.2007 17:46 17.456 RUNDLL32.EXE-1E219C16.pf
10.09.2007 17:46 13.028 SNDVOL32.EXE-383480B7.pf
06.09.2007 16:05 11.752 RUNDLL32.EXE-39066E5C.pf
06.09.2007 14:24 35.414 GPONLINE.EXE-2DDBDB89.pf
06.09.2007 03:17 22.358 NETPUMPER.EXE-0BD7219A.pf
06.09.2007 02:34 16.216 WAVE PLAN.EXE-0D54BC92.pf
06.09.2007 02:34 15.930 TRWVUPZZ.EXE-0EE1259B.pf
06.09.2007 02:33 19.516 64DATA~1.EXE-2933225A.pf
06.09.2007 02:33 20.350 NETPUMPERIEPROXY.EXE-0E1D4CF8.pf
06.09.2007 02:33 14.744 BISB0.EXE-2E703061.pf
06.09.2007 02:33 13.064 REGSVR32.EXE-25EEFE2F.pf
06.09.2007 02:33 9.760 LIGHTCERTGEN.EXE-2A234ACE.pf
06.09.2007 02:33 6.614 SETCERTACL.EXE-192E6D0B.pf
06.09.2007 02:33 14.020 MINIME.EXE-384A041C.pf
06.09.2007 02:33 20.888 INSAF.TMP-36674299.pf
06.09.2007 02:33 12.718 NETPUMPER-1.50-SETUP-0019.EXE-0395D1D3.pf
06.09.2007 02:33 15.904 _IU14D2N.TMP-1D3F44A5.pf
06.09.2007 02:32 12.574 UNINS000.EXE-36B95567.pf
06.09.2007 02:32 4.438 SHUTDOWN.EXE-2C833EF4.pf
06.09.2007 02:32 56.884 RUNDLL32.EXE-2E0FDD21.pf
06.09.2007 02:18 16.212 64 DATA.EXE-0EACA294.pf
06.09.2007 02:18 16.028 JJBITKQO.EXE-0E282A5E.pf
06.09.2007 02:18 22.102 ACEREG~1.EXE-0F45962C.pf
06.09.2007 02:18 15.170 BISA9.EXE-0A0F34C1.pf
06.09.2007 02:17 10.560 LIGHTCERTGEN.EXE-179AB307.pf
06.09.2007 02:17 6.614 SETCERTACL.EXE-3051876F.pf
06.09.2007 02:17 20.560 INSA8.TMP-066938BE.pf
05.09.2007 21:02 20.574 RUNDLL32.EXE-2034A356.pf
05.09.2007 21:01 19.382 RUNDLL32.EXE-30D43DA0.pf

Verzeichnis von C:\WINDOWS

01.10.2007 22:11 4.933.320 {00000000-00000000-00000009-00001102-00000004-20021102}.CDF
01.10.2007 22:11 0 0.log
01.10.2007 22:10 2.048 bootstat.dat
01.10.2007 15:47 32.578 SchedLgU.Txt
30.09.2007 15:17 227 system.ini
30.09.2007 15:17 605 win.ini
17.09.2007 16:55 2.307 discwriter.log
17.09.2007 16:54 0 OrangeBurn.log
17.09.2007 16:14 541.160 setupapi.log
03.09.2007 17:22 50 wiaservc.log
03.09.2007 17:22 411 wiadebug.log

Verzeichnis von C:\WINDOWS\tasks

01.10.2007 22:10 6 SA.DAT
01.10.2007 15:00 276 AC776AB491851D48.job

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

01.10.2007 22:20 115.498 filelist.txt
01.10.2007 22:19 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}19144.html
01.10.2007 22:14 512 ~DF9D16.tmp
01.10.2007 22:14 512 ~DF9CFC.tmp
01.10.2007 22:14 512 ~DF9CE2.tmp
01.10.2007 22:14 16.384 ~DF9CF0.tmp
01.10.2007 22:14 16.384 ~DF9D0A.tmp
01.10.2007 22:14 16.384 ~DF9CBC.tmp
01.10.2007 22:14 16.384 ~DF9CD6.tmp
01.10.2007 22:14 512 ~DF9CC8.tmp
01.10.2007 22:12 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15923.html
01.10.2007 22:11 16.384 ~DF55E8.tmp
01.10.2007 22:11 16.384 ~DF495C.tmp
01.10.2007 22:11 512 ~DF4968.tmp
01.10.2007 22:10 202.657 jusched.log
01.10.2007 14:35 0 flaA1.tmp
01.10.2007 14:34 0 fla9C.tmp
01.10.2007 14:27 0 fla98.tmp
01.10.2007 00:24 0 fla11F.tmp
01.10.2007 00:24 0 fla11D.tmp
01.10.2007 00:21 0 fla118.tmp
01.10.2007 00:21 0 fla114.tmp
30.09.2007 22:33 0 cdrA2.tmp
29.09.2007 20:25 575.488 sta3.exe
29.09.2007 17:53 0 fla10A.tmp
29.09.2007 17:52 0 fla106.tmp
29.09.2007 17:51 0 fla104.tmp
29.09.2007 17:51 0 fla102.tmp
29.09.2007 17:51 0 fla100.tmp
29.09.2007 17:51 0 flaFE.tmp
29.09.2007 17:50 0 flaFC.tmp
29.09.2007 17:49 0 flaFA.tmp
29.09.2007 17:49 0 flaF7.tmp
29.09.2007 17:49 0 flaF4.tmp
29.09.2007 17:49 0 flaF2.tmp
29.09.2007 17:49 0 flaF0.tmp
29.09.2007 17:48 0 flaED.tmp
29.09.2007 17:48 0 flaEA.tmp
29.09.2007 17:48 0 flaE8.tmp
29.09.2007 17:47 0 flaE4.tmp
29.09.2007 17:47 0 flaE2.tmp
29.09.2007 17:46 0 flaE0.tmp
29.09.2007 17:46 0 flaDE.tmp
29.09.2007 17:46 0 flaDC.tmp
29.09.2007 17:45 0 flaDA.tmp
29.09.2007 17:44 0 flaD8.tmp
29.09.2007 17:44 0 flaD6.tmp
29.09.2007 17:41 0 flaD2.tmp
29.09.2007 17:41 0 flaD0.tmp
29.09.2007 17:41 0 flaCE.tmp
29.09.2007 17:40 0 flaC6.tmp
29.09.2007 00:08 0 flaCC.tmp
29.09.2007 00:08 0 flaCA.tmp
29.09.2007 00:08 0 flaC8.tmp
29.09.2007 00:06 0 flaC4.tmp
28.09.2007 23:39 0 flaBA.tmp
28.09.2007 23:39 0 flaB6.tmp
28.09.2007 23:39 0 flaB5.tmp
28.09.2007 23:22 0 flaAE.tmp
28.09.2007 22:56 0 flaAC.tmp
28.09.2007 22:56 0 flaAB.tmp
28.09.2007 22:46 0 flaA6.tmp
28.09.2007 21:48 12.818 control.xml
27.09.2007 19:49 0 flaA2.tmp
27.09.2007 19:49 0 flaA0.tmp
27.09.2007 19:48 0 fla9E.tmp
27.09.2007 19:05 0 flaB8.tmp
27.09.2007 18:51 0 fla97.tmp
25.09.2007 18:23 0 flaA5.tmp
23.09.2007 01:47 0 fla96.tmp
20.09.2007 14:46 0 fla95.tmp
18.09.2007 21:00 0 flaB4.tmp
16.09.2007 02:50 0 fla117.tmp
16.09.2007 02:38 0 fla113.tmp
16.09.2007 02:38 0 fla112.tmp
16.09.2007 02:36 0 fla10B.tmp
15.09.2007 23:50 132.769 fj6i4l76.gp3
14.09.2007 17:06 16.384 ~DFCB66.tmp
14.09.2007 17:06 16.384 ~DFC291.tmp
14.09.2007 14:56 536.064 staA7.exe
06.09.2007 16:46 0 fla94.tmp
06.09.2007 02:33 528.896 bisB0.exe
06.09.2007 02:18 528.896 bisA9.exe
03.09.2007 15:43 695 TWAIN.LOG
03.09.2007 15:43 156 Twunk001.MTX
03.09.2007 15:43 3 Twain001.Mtx
02.09.2007 23:10 0 WER16.tmp
02.09.2007 15:10 0 WER2.tmp
01.09.2007 13:01 0 WER13.tmp
01.09.2007 00:07 0 WER1E.tmp
31.08.2007 17:55 0 WER12.tmp
31.08.2007 15:14 0 WER57.tmp

Verzeichnis von C:\WINDOWS\Temp Dateien sind wesentlich älter als 30 Tage

Frost. · 01.10.2007, 21:29

Silentrunners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RemoteCenter" = "C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" ["Creative Technology Ltd"]
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"Regs blah" = "C:\DOKUME~1\Besitzer\ANWEND~1\DASHKN~1\Media Locks.exe" [null data]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data]
"SBDrvDet" = "C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r" ["Creative Technology Ltd"]
"H2O" = "C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" ["Team H2O"]
"CTSysVol" = "C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r" ["Creative Technology Ltd"]
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"CTDVDDET" = "C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" ["Creative Technology Ltd"]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "E:\Programme\Adobe Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "E:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "E:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Programme\Microsoft Office 2003\OFFICE11\msohev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "E:\Programme\Music Converter\dBpoweramp\dMCShell.dll" ["Illustrate"]
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
-> {HKLM...CLSID} = "VpshellEx Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = " cdmovirt.dll" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> NavLogon\DLLName = "C:\WINDOWS\System32\NavLogon.dll" ["Symantec Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "E:\Programme\Adobe Reader\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
{FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "E:\Programme\Music Converter\dBpoweramp\dBShell.dll" ["Illustrate"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"
-> {HKLM...CLSID} = "VpshellEx Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"
-> {HKLM...CLSID} = "VpshellEx Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Mozilla\Firefox\Desktop Hintergrund.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Besitzer" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

Enabled Scheduled Tasks:
------------------------

"AC776AB491851D48" -> launches: "c:\dokume~1\besitzer\anwend~1\dashkn~1\Sign does pure.exe" [null data]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.exe" ["Creative Technology Ltd"]
Symantec AntiVirus Definition Watcher, DefWatch, ""C:\Programme\Symantec AntiVirus\DefWatch.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]
Canon BJ Language Monitor S450\Driver = "CNMLM2R.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

---------- (launch time: 2007-10-01 15:41:00)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 347 seconds, including 18 seconds for message boxes)

Den e-Scan mach ich gleich.

cosinus · 01.10.2007, 22:02

Das sieht ziemlich ernüchternd aus!

Zitat:

Blacklight kann ich irgendwie nicht starten

Kommt da ne Fehlermeldung? Wenns partout nicht geht, probier den Rootkit Revealer, gmer oder rkdetector.

Zitat:

Verzeichnis von C:\WINDOWS\system32

01.10.2007 15:47 384 DVCStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.dat
01.10.2007 15:47 384 DVCState-{00000000-00000000-00000009-00001102-00000004-20021102}.dat
01.10.2007 15:47 1.080 settings.sfm
01.10.2007 15:47 1.080 settingsbkup.sfm
01.10.2007 15:47 32.088 BMXBkpCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
01.10.2007 15:47 32.592 BMXStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
01.10.2007 15:47 32.088 BMXCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
01.10.2007 15:47 32.592 BMXState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx

Merkwürdige Dateien...

Zitat:

01.10.2007 15:00 18.040 SIGN DOES PURE.EXE-316E1380.pf
29.09.2007 20:25 15.226 POP BALM.EXE-3447FA0D.pf
29.09.2007 20:25 14.954 UTVJDQGP.EXE-04E303E6.pf
29.09.2007 20:25 15.846 STA3.EXE-04CCECCD.pf
29.09.2007 20:25 11.468 EPYCNTWG.EXE-0B9221D0.pf
29.09.2007 12:44 11.764 SYQXCYJX.EXE-2B045ADE.pf
14.09.2007 14:57 6.072 GFDXSYMB.EXE-06EB6A67.pf

Der Prefetch-Ordner offenbart noch mehr verdächtige Dateien...

Zitat:

"Regs blah" = "C:\DOKUME~1\Besitzer\ANWEND~1\DASHKN~1\Media Locks.exe" [null data]
<<!>> "AppInit_DLLs" = " cdmovirt.dll" [file not found]
"AC776AB491851D48" -> launches: "c:\dokume~1\besitzer\anwend~1\dashkn~1\Sign does pure.exe" [null data]

Auch diese Einträge durch die silentrunners erwecken nicht gerade mehr vertrauen in deine Kiste.
Wenn ich ehrlich bin, solltest du dich auf ein Neuaufsetzen vorbereiten. Ist allemal sicherer und wohl deutlich schneller als eine Bereinigung deines Systems, wohlgemerkt fehlten bei dir auch wichtige Updates.

Frost. · 04.10.2007, 14:45

Also ich habs jetzt mal mit Rootkit Revealer gemacht und da kam folgendes raus:

HKLM\SECURITY\Policy\Secrets\SAC* 05.11.2006 20:27 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 05.11.2006 20:27 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 26.05.2007 00:45 0 bytes Access is denied.

E-Scan kann ich nicht machen weil ichs einfach nicht schaff in den abgesicherten modus zu kommen. Ich habs schon mit mehreren F tasten versucht, das einizige was geht ist das Bios mit F2.. Kann man das nicht auch im normalen Modus machen?

sufffer · 04.10.2007, 15:02

also wenns nen trojaner ist hätte dir auch ne firewall wohl nicht viel geholfen jedenfalls wennde die exe selber ausgeführt hast. zweite möglichkeit jemand ist über einen ungeschützten port in deinen pc gelangt und hat den trojaner upgeloadet und selbst aktiviert...

30.09.2007, 17:20	#5
Todward Gesperrt	Probleme mit ein paar exen was mir jetzt schon mal als erstes auffällt ist, dass du windows xp sp1 hast. das solltest du schnell auf sp2 updaten.

30.09.2007, 17:41	#7
Todward Gesperrt	Probleme mit ein paar exen ja also ich hab sp2 und merke keine probleme. da wurde bestimmt einiges behoben. das wäre halt ein tipp von mir. mit dem sp2. bei deinem problem muss dir jemand anderes helfen.

Probleme mit ein paar exen

Plagegeister aller Art und deren Bekämpfung: Probleme mit ein paar exen