N´abend.
Mein Antivir meldet mir soeben die o.a. Datei im Ordner c:\windows als TR/Dldr.agent.drp
Ich konnte aber weder zu der Datei noch zu dem .drp auf die Schnelle irgendwelche näheren Informationen finden.
Weiss jemand was genaueres über diese Datei bzw. den daranhängenden Prozess?

Moin
Habe die Datei mal bei Jotti scannen lassen, die finden was:

Trojan.Downloader.Agent.Drp (ArcaVir)
Downloader.Agent.TJS (AVG)
Trojan-Downloader.Win32.Agent.drp (F-secure und Kaspersky)
Mal/Generic-A (Sophos)

Habe auch einen OnlineScan bei HijackThis gemacht, angeblich ist das Log sauber.

Hat jemand ´ne Idee was zu tun ist?

Moin Jörg,

wie heißt die Datei denn und wo wurde sie gefunden?

MFG

Moin nochdigger
Sind wir noch ein bischen müde?
Datei heisst bnetunin.exe (steht im Titel) und gefunden wurde sie im Ordner c:\Windows (steht im ersten Post)

Ich habe jetzt noch mit CCleaner gesäubert, ein erneuter Suchlauf mit Antivir hat nichts ergeben. Das HiJackThis-Log war, wie bereits erwähnt, sauber.

Hallo

ich muss zugeben die Überschrift hab ich mit keinem Stück beachtet
es war wohl in der Tat noch etwas zu früh.
Bei dem "Schädling" könnte es sich hierdrum handeln --> DollarRevenue

Hast HijackThis schon umbenannt und laufen lassen?
Wenn nicht bitte nachholen und vorzeigen, ebenso mal die Filelist laufen lassen

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

Moin
Da bin ich mit den Logs:

Logfile of HijackThis v1.99.1
Scan saved at 08:30:59, on 06.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\Programme\itunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Folding\winFAH.exe
D:\Programme\Folding\FahCore_78.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\antivir personaledition classic\avscan.exe
D:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = []h**p://google.icq.com/search/search_frame.php[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [=h**p://www.google.de/ig?hl=de]iGoogle[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = []h**p://global.acer.com/[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\itunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {943C6B3F-020D-4B2D-B0F6-73ACA86C2B4C} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {943C6B3F-020D-4B2D-B0F6-73ACA86C2B4C} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - []h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143487785015[/url]
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe


und hier die filelist:


{\rtf1\ansi\ansicpg1252\deff0\deflang1031{\fonttbl{\f0\fswiss\fcharset0 Arial;}}
{\*\generator Msftedit 5.41.15.1507;}\viewkind4\uc1\pard\f0\fs20 ----- Root ----------------------------- \par
Datentr\'84ger in Laufwerk C: ist ACER\par
Volumeseriennummer: 320D-180E\par
\par
Verzeichnis von C:\\\par
\par
06.10.2007 18:44 1.610.612.736 pagefile.sys\par
06.10.2007 18:44 1.071.763.456 hiberfil.sys\par
06.03.2007 20:00 211 boot.ini\par
\par
----- System32 ------------------------- \par
Datentr\'84ger in Laufwerk C: ist ACER\par
Volumeseriennummer: 320D-180E\par
\par
Verzeichnis von C:\\WINDOWS\\system32\par
\par
06.10.2007 18:45 1.300.233 0\par
06.10.2007 08:36 451 eRLog.ini\par
06.10.2007 08:35 1.158 wpa.dbl\par
06.09.2007 04:50 17.474.680 MRT.exe\par
05.09.2007 20:20 249.768 TZLog.log\par
30.07.2007 19:20 30.040 wuaucpl.cpl.mui\par
\par
----- Prefetch ------------------------- \par
Datentr\'84ger in Laufwerk C: ist ACER\par
Volumeseriennummer: 320D-180E\par
\par
Verzeichnis von C:\\WINDOWS\\Prefetch\par
\par
06.10.2007 18:52 12.992 FIND.EXE-0EEAD1A7.pf\par
06.10.2007 18:52 16.138 CMD.EXE-034B0549.pf\par
06.10.2007 18:51 27.730 WORDPAD.EXE-159A81F2.pf\par
06.10.2007 18:51 29.650 FILZIP.EXE-34E800C8.pf\par
06.10.2007 18:50 132.682 NOTEPAD.EXE-2F2D61E1.pf\par
06.10.2007 18:50 20.924 RUNDLL32.EXE-552B3FED.pf\par
06.10.2007 18:49 25.722 VERCLSID.EXE-28F52AD2.pf\par
06.10.2007 18:49 87.462 EXPLORER.EXE-02121B1A.pf\par
06.10.2007 18:49 17.684 RUNDLL32.EXE-6E8D4657.pf\par
06.10.2007 18:47 40.508 IPODSERVICE.EXE-07892C80.pf\par
06.10.2007 18:47 27.236 FAHCORE_78.EXE-1E58379C.pf\par
06.10.2007 18:47 89.326 CLI.EXE-124F2D43.pf\par
06.10.2007 18:47 45.214 FPASSIST.EXE-0FA62707.pf\par
06.10.2007 18:47 31.420 QTZGACER.EXE-302AB200.pf\par
06.10.2007 18:47 22.340 CTFMON.EXE-05E57A5E.pf\par
06.10.2007 18:47 10.212 QTTASK.EXE-0C419446.pf\par
06.10.2007 18:47 54.562 AVGNT.EXE-34DB0DF2.pf\par
06.10.2007 18:47 7.688 TINTSETP.EXE-2DD83AEF.pf\par
06.10.2007 18:47 49.168 PCMSERVICE.EXE-384B5F7A.pf\par
06.10.2007 18:47 29.730 ITUNESHELPER.EXE-0B1A301E.pf\par
06.10.2007 18:47 21.584 IMJPMIG.EXE-32ABEE9A.pf\par
06.10.2007 18:47 34.994 MONITOR.EXE-0693E15D.pf\par
06.10.2007 18:47 25.730 ALAUNCH.EXE-145B15F4.pf\par
06.10.2007 18:47 13.748 IMSCINST.EXE-2B626103.pf\par
06.10.2007 18:47 23.946 WINFAH.EXE-18513D44.pf\par
06.10.2007 18:47 22.350 UNSECAPP.EXE-16EB9856.pf\par
06.10.2007 18:47 52.404 ADMTRAY.EXE-261081D2.pf\par
06.10.2007 11:04 94.586 LOGONUI.EXE-312BE1BF.pf\par
06.10.2007 11:00 111.306 IEXPLORE.EXE-360BBB5C.pf\par
06.10.2007 10:59 115.816 MSHEARTS.EXE-36ED662C.pf\par
06.10.2007 10:54 122.802 ITUNES.EXE-007CC0CD.pf\par
06.10.2007 10:49 149.152 LOGON.SCR-24ADF392.pf\par
06.10.2007 10:40 57.988 AVSCAN.EXE-1702C14B.pf\par
06.10.2007 10:40 43.128 UPDATE.EXE-16715754.pf\par
06.10.2007 10:40 17.136 PREUPD.EXE-0B43CCF7.pf\par
06.10.2007 10:40 54.076 AVCENTER.EXE-12E38D18.pf\par
06.10.2007 10:37 22.108 EASYCLEA.EXE-18DDFECF.pf\par
06.10.2007 09:14 441.360 Layout.ini\par
06.10.2007 08:58 63.916 ACRORD32.EXE-0408CA01.pf\par
06.10.2007 08:41 45.762 ATI2EVXX.EXE-07A42849.pf\par
06.10.2007 08:41 44.284 WINLOGON.EXE-0957F9B2.pf\par
06.10.2007 08:41 59.280 CSRSS.EXE-22452D1B.pf\par
06.10.2007 08:38 129.004 HIJACKTHIS.EXE-3477D747.pf\par
06.10.2007 08:37 46.774 RUNDLL32.EXE-40B0DFDF.pf\par
06.10.2007 08:36 26.984 WMIAPSRV.EXE-02740A4B.pf\par
06.10.2007 08:35 11.752 SYNTPLPR.EXE-0544C4FA.pf\par
06.10.2007 08:35 47.370 RTHDCPL.EXE-005A6E31.pf\par
06.10.2007 08:35 24.720 EDSLOADER.EXE-2A914953.pf\par
06.10.2007 08:35 17.836 SYNTPENH.EXE-33F656F5.pf\par
06.10.2007 08:35 22.000 REGSVR32.EXE-396DEA2C.pf\par
06.10.2007 08:35 27.090 ACER EPOWER MANAGEMENT.EXE-269102ED.pf\par
06.10.2007 08:35 43.444 WMIPRVSE.EXE-0D449B4F.pf\par
06.10.2007 08:35 37.028 USERINIT.EXE-0743FDA9.pf\par
06.10.2007 08:35 48.064 WGATRAY.EXE-350D4455.pf\par
06.10.2007 08:30 29.892 TASKMGR.EXE-06144C13.pf\par
06.10.2007 08:16 28.570 RUNDLL32.EXE-53F1DBDE.pf\par
06.10.2007 08:13 32.518 FREEPDF.EXE-15D5E548.pf\par
06.10.2007 08:13 54.658 GSWIN32C.EXE-358D6646.pf\par
06.10.2007 08:13 18.390 REDRUN.EXE-366ABBBC.pf\par
06.10.2007 08:13 11.554 FPREDMON.EXE-2054C610.pf\par
06.10.2007 08:07 56.192 ACRORD32INFO.EXE-129F15EB.pf\par
06.10.2007 08:01 22.032 HARDCOPY.EXE-3129E5F2.pf\par
06.10.2007 07:57 21.214 GUARDGUI.EXE-1EC82CEA.pf\par
06.10.2007 07:33 85.810 SPYBOTSD.EXE-05E34E47.pf\par
06.10.2007 06:23 58.480 RUNDLL32.EXE-417B28F2.pf\par
06.10.2007 06:23 30.140 RUNDLL32.EXE-4C2F6D24.pf\par
06.10.2007 06:19 22.208 CCLEANER.EXE-17760B94.pf\par
06.10.2007 05:49 47.020 EPOWER_DMC.EXE-0838B86A.pf\par
05.10.2007 20:51 31.042 IEDW.EXE-062D8B1C.pf\par
05.10.2007 20:34 33.980 IMAPI.EXE-201490BB.pf\par
05.10.2007 19:50 58.818 AVCONFIG.EXE-0EB0350B.pf\par
05.10.2007 19:36 45.930 HELPSVC.EXE-1C192440.pf\par
05.10.2007 19:18 40.554 SPYWAREBLASTER.EXE-3A51C31D.pf\par
05.10.2007 19:00 65.292 AVNOTIFY.EXE-278D3CE0.pf\par
05.10.2007 18:38 17.876 DEFRAG.EXE-2858C7E2.pf\par
05.10.2007 18:38 15.366 DFRGFAT.EXE-22605FE5.pf\par
03.10.2007 16:36 20.388 FREECELL.EXE-362FDFD2.pf\par
01.10.2007 20:40 16.944 WINMINE.EXE-1C017FC4.pf\par
01.10.2007 19:27 55.220 NERO.EXE-2D2B9A2A.pf\par
01.10.2007 19:26 64.656 NEROSTARTSMART.EXE-20D46065.pf\par
30.09.2007 15:16 65.018 SETUP_WM.EXE-21CBB822.pf\par
30.09.2007 15:15 60.298 WMPLAYER.EXE-017735AF.pf\par
30.09.2007 15:14 87.926 WUAUCLT.EXE-1360D60A.pf\par
24.09.2007 19:11 50.898 AVGUARD.EXE-081AFD34.pf\par
17.09.2007 21:14 75.314 OPERA.EXE-2405C968.pf\par
15.09.2007 10:13 23.594 RUNDLL32.EXE-574685D3.pf\par
15.09.2007 10:13 17.446 ALG.EXE-275708CF.pf\par
15.09.2007 10:13 16.250 SVCHOST.EXE-2D5FBD18.pf\par
15.09.2007 10:13 64.348 CLSCHED.EXE-3412FBEF.pf\par
15.09.2007 10:13 48.812 FXSSVC.EXE-140862E7.pf\par
14.09.2007 20:11 23.260 MJM.EXE-1E1A04A3.pf\par
12.09.2007 06:02 33.540 WINDOWS-KB890830-V1.33-DELTA.-0708182F.pf\par
12.09.2007 06:02 47.470 MRT.EXE-161A5291.pf\par
12.09.2007 06:02 52.186 MRTSTUB.EXE-184D0F9D.pf\par
12.09.2007 06:01 23.720 WUPDMGR.EXE-08F70643.pf\par
12.09.2007 06:01 30.274 RUNDLL32.EXE-53103E13.pf\par
06.09.2007 21:31 63.606 EXPORTCONTROLLER.EXE-29DA913E.pf\par
06.09.2007 21:31 86.904 QUICKTIMEPLAYER.EXE-370268C9.pf\par
06.09.2007 21:29 68.442 SOFTWAREUPDATE.EXE-25CB4300.pf\par
06.09.2007 21:24 11.332 APPLEMOBILEDEVICESERVICE.EXE-032C74B6.pf\par
06.09.2007 21:24 6.626 ITUNESSETUPADMIN.EXE-1A537C69.pf\par
06.09.2007 21:24 156.058 MSIEXEC.EXE-330626DC.pf\par
05.09.2007 20:51 31.402 SCHED.EXE-35555958.pf\par
05.09.2007 20:50 42.270 UPDATE.EXE-229D157F.pf\par
05.09.2007 20:20 51.940 UPDATE.EXE-33C870DA.pf\par
05.09.2007 20:20 70.460 UPDATE.EXE-235E9B16.pf\par
05.09.2007 20:20 7.866 TZCHANGE.EXE-0A83DDF5.pf\par
05.09.2007 20:19 70.654 UPDATE.EXE-14A99CB9.pf\par
----- Windows -------------------------- \par
Datentr\'84ger in Laufwerk C: ist ACER\par
Volumeseriennummer: 320D-180E\par
\par
Verzeichnis von C:\\WINDOWS\par
\par
06.10.2007 18:52 41 Filzip.ini\par
06.10.2007 18:46 54.156 QTFont.qfn\par
06.10.2007 18:45 4.198 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt\par
06.10.2007 18:45 157 wiadebug.log\par
06.10.2007 18:44 0 0.log\par
06.10.2007 18:44 2.048 bootstat.dat\par
06.10.2007 11:04 32.578 SchedLgU.Txt\par
06.10.2007 11:04 50 wiaservc.log\par
05.10.2007 12:50 1.122.150 WindowsUpdate.log\par
30.09.2007 15:17 49 NeroDigital.ini\par
30.09.2007 15:16 30.294 wmsetup.log\par
06.09.2007 21:25 1.409 QTFont.for\par
05.09.2007 20:21 1.355 imsins.log\par
05.09.2007 20:21 102.068 ntdtcsetup.log\par
05.09.2007 20:21 242.028 ocgen.log\par
05.09.2007 20:21 511.186 FaxSetup.log\par
05.09.2007 20:21 12.442 KB939683.log\par
05.09.2007 20:21 496.475 setupapi.log\par
05.09.2007 20:21 82.246 iis6.log\par
05.09.2007 20:21 25.149 msgsocm.log\par
05.09.2007 20:21 195.797 tsoc.log\par
05.09.2007 20:21 166.058 comsetup.log\par
05.09.2007 20:21 28.044 ocmsn.log\par
05.09.2007 20:20 1.355 imsins.BAK\par
05.09.2007 20:20 23.782 KB933360.log\par
----- Tasks ---------------------------- \par
Datentr\'84ger in Laufwerk C: ist ACER\par
Volumeseriennummer: 320D-180E\par
\par
Verzeichnis von C:\\WINDOWS\\tasks\par
\par
06.10.2007 18:44 6 SA.DAT\par
12.08.2007 11:40 276 AppleSoftwareUpdate.job\par
04.08.2004 05:00 65 desktop.ini\par
3 Datei(en) 347 Bytes\par
0 Verzeichnis(se), 22.901.555.200 Bytes frei\par
\par
----- Wintemp -------------------------- \par
Datentr\'84ger in Laufwerk C: ist ACER\par
Volumeseriennummer: 320D-180E\par
\par
Verzeichnis von C:\\WINDOWS\\temp\par
\par
06.10.2007 18:46 409 WGANotify.settings\par
06.10.2007 18:46 66 WGAErrLog.txt\par
06.10.2007 18:45 2.048 sqlite_cKv9SONUP6H7RAV\par
06.10.2007 18:45 0 CLML_AGENT_LOG1.txt\par
03.10.2007 16:12 16.384 Perflib_Perfdata_724.dat\par
02.10.2007 05:08 16.384 Perflib_Perfdata_7a4.dat\par
16.09.2007 18:45 16.384 Perflib_Perfdata_79c.dat\par
15.09.2007 10:12 16.384 Perflib_Perfdata_4f8.dat\par
08.09.2007 07:58 16.384 Perflib_Perfdata_798.dat\par
06.09.2007 19:29 16.384 Perflib_Perfdata_790.dat\par
05.09.2007 20:53 16.384 Perflib_Perfdata_5c0.dat\par
05.09.2007 20:40 0 UpdA6.tmp\par
05.09.2007 20:38 0 UpdA5.tmp\par
05.09.2007 20:33 0 UpdA4.tmp\par
05.09.2007 20:25 0 UpdA3.tmp\par
05.09.2007 20:18 0 Upd98.tmp\par
05.09.2007 20:10 0 Upd97.tmp\par
05.09.2007 20:01 0 Upd96.tmp\par
05.09.2007 19:58 0 Upd95.tmp\par
05.09.2007 19:56 16.384 Perflib_Perfdata_324.dat\par
----- Temp ----------------------------- \par
Datentr\'84ger in Laufwerk C: ist ACER\par
Volumeseriennummer: 320D-180E\par
\par
Verzeichnis von C:\\DOKUME~1\\J\'99RG\\LOKALE~1\\Temp\par
\par
06.10.2007 18:52 153.219 filelist.txt\par
06.10.2007 18:47 16.384 Perflib_Perfdata_a34.dat\par
06.10.2007 18:47 16.384 Perflib_Perfdata_ac.dat\par
06.10.2007 18:46 16.384 Perflib_Perfdata_a44.dat\par
06.10.2007 18:46 16.384 ~DF2A59.tmp\par
06.10.2007 06:17 35.427 avsmtptmp.$$$\par
01.10.2007 19:33 0 NBR8.tmp\par
30.09.2007 15:17 1.826 wmplog05.sqm\par
08.09.2007 09:43 0 NBR7.tmp\par


Bin mal gespannt.

So, jetzt hat das auch mit dem Editieren der URL´s geklappt

Moin.
Also sowohl ein erneuter Suchlauf mit Antivir als auch ein Scan mit Spybot S&D hat nichts ergeben.

Hallo Jörg,

hm, wie du schon sagtest, es gibt bisher wirklich nix verwertbares zu dieser Meldung.
Beim suchen nach dem Dateinamen kann das alles mögliche sein.

Führe hier doch mal einen Onlinescan mit dem IE durch
Free Virus Scan - Kaspersky Lab
Vermutlich wirst du die Sicherheitseinstellungen im IE zurücksetzen und AktiveX erlauben müssen.
Dann berichte bitte nochmal
(sonst bin ich echt ein wenig ratlos)

MFG

Moin
Okay, bin gerade dabei. Ich gebe dann Bescheid, wenn der Scan fertig ist.

Hallo nochdigger:
So, Kaspersky ist fertig, hier auszugsweise das Ergebnis:

Total number of scanned objects 71493
Number of viruses found 1
Number of infected objects 3
Number of suspicious objects 0
Duration of the scan process 00:46:43

D:\Programme\EasyCD-DA Extractor\ezcddax.exe Infected: not-a-virus:Monitor.Win32.KeyLogger.aw skipped

D:\Downloads\ezcddax9.exe/ezcddax.exe Infected: not-a-virus:Monitor.Win32.KeyLogger.aw skipped

D:\Downloads\ezcddax9.exe SetupFactory: infected - 1 skipped

Das scheint mir ein Fehlalarm zu sein, das Programm benutze ich schon seit langem, und zwar auf meinen beiden Rechnern, ohne dass bisher irgendwelche Probleme auftraten.

Was hältst Du von der Sache, sollte ich den Alarm als erledigt abhaken?

Ich werd´ jetzt noch die Quarantäne von Antivir löschen, und denke das die Sache dann erledigt ist. Auf jeden Fall schon mal Danke für die Hilfe.

Mahlzeit,

Zitat:

Was hältst Du von der Sache, sollte ich den Alarm als erledigt abhaken?

Ich bin ein bisschen skeptisch, ich würde den Rechner erstmal nicht ins Netz lassen.
Die Sache als erledigt abhaken könnte sich später einmal rächen, eventuell hast du nur den "sichtbaren teil" eines Schädlings erwischt.
Auf jeden Fall würde ich noch einige Rootkitscanner aufs System loslassen.
Sehr suspekt das ganze

MFG

Auch Mahlzeit

Zitat:

Zitat von nochdigger

ich würde den Rechner erstmal nicht ins Netz lassen.

Ist eh der Zweitrechner, der normalerweise nur für Updates und f@h ans Netz geht, deshalb verwundert mich die Sache doppelt.

Werd´ mal noch mit Blacklight scannen, aber aus Zeitgründen wahrscheinlich erst heute Abend.

Vorerst nochmals Danke und schönen Sonntag noch.

Hallo Jörg,

wenn du mit Blacklight scannen möchtest musst das Datum aber auf vor den 1.10.07 zurückdrehen bis dahin war/ist Blacklight nur lauffähig gewesen.

MFG

Hallo
Habe jetzt nochmal im abgesicherten Modus mit Anitivir und Spybot gescannt, ohne Befund.
Blacklight ist gerade am Laufen.

Nachtrag:Blacklight ist soeben fertig, "No hidden items found"

Hallo

na evtl. hast du diesesmal ja noch Glück gehabt, sei aber auf jeden Fall sehr aufmerksam die nächste Zeit, da wir nicht genau wissen worum es sich gehandelt hat bzw. welche genauen Eigenschaften der Schädling inne hatte.

MFG