| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: shfaymzhlr.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.10.2007, 17:02
| #1 |
 |  shfaymzhlr.exe Hallo zusammen, ich hoffe ich Poste im richtigen Berreich. Seit einigen Tagen läuft dieses Prog im Hintergrund shfaymzhlr.exe. Es befindet sich im Ordner Win/System32. Ich kann es nicht zuordnen und bei google lande ich auch keinen Treffer. Habe es auch schon mit dem Security task Manager versucht, aber auch da kann mir keiner sagen was es ist. Vielen Dank schon mal für euere Antworten… Logfile of HijackThis v1.99.1 Scan saved at 17:58:31, on 16.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\nvraidservice.exe C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\VM305_STI.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Security Task Manager\TaskMan.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\INr23I\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305) O4 - HKCU\..\Run: [shfaymzhlr] c:\windows\system32\shfaymzhlr.exe shfaymzhlr O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://germanhotstuff.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5-windows-i586.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing) O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe |
|
16.10.2007, 19:14
| #2 |
| /// Helfer-Team    | shfaymzhlr.exe Hi,
__________________dann geh mal zu VirusTotal und lass dort die c:\windows\system32\shfaymzhlr.exe online scannen, Ergebnisse bitte komplett hierher kopieren. Gruß, Karl |
|
16.10.2007, 22:52
| #3 |
| | shfaymzhlr.exe Ich konnte die exe Datei nicht im Ordner System32 finden, dort ist nur eine shfaymzhlr.dat,
__________________shfaymzhlr_nav.dat und shfaymzhlr_navps.dat aufzufinden. Unter Windows/Preftech befindet sich diese Datei SHFAYMZHLR.EXE-0FFD8CC5.pf. Das Prog oder was es auch ist befindet sich im Systemstart, habe es dort aber deaktiviert. Ich bin nur etwas beunruhigt da sich seit einigen tagen beim öffnen des IE Fenster öffnen mit Viruswarnungen, dort werde ich aufgefordert den PC jetzt nach Viren zu durchsuchen. ..... Datei SHFAYMZHLR.EXE-0FFD8CC5.pf empfangen 2007.10.16 23:38:00 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.17.0 2007.10.16 - AntiVir 7.6.0.23 2007.10.16 - Authentium 4.93.8 2007.10.16 - Avast 4.7.1051.0 2007.10.15 - AVG 7.5.0.488 2007.10.16 - BitDefender 7.2 2007.10.16 - CAT-QuickHeal 9.00 2007.10.16 - ClamAV 0.91.2 2007.10.16 - DrWeb 4.44.0.09170 2007.10.16 - eSafe 7.0.15.0 2007.10.15 - eTrust-Vet 31.2.5214 2007.10.16 - Ewido 4.0 2007.10.16 - FileAdvisor 1 2007.10.16 - Fortinet 3.11.0.0 2007.10.16 - F-Prot 4.3.2.48 2007.10.15 - F-Secure 6.70.13030.0 2007.10.16 - Ikarus T3.1.1.12 2007.10.16 - Kaspersky 7.0.0.125 2007.10.16 - McAfee 5142 2007.10.16 - Microsoft 1.2908 2007.10.16 - NOD32v2 2595 2007.10.16 - Norman 5.80.02 2007.10.16 - Panda 9.0.0.4 2007.10.16 - Prevx1 V2 2007.10.16 - Rising 19.45.12.00 2007.10.16 - Sophos 4.22.0 2007.10.16 - Sunbelt 2.2.907.0 2007.10.16 - Symantec 10 2007.10.16 - TheHacker 6.2.8.093 2007.10.16 - VBA32 3.12.2.4 2007.10.16 - VirusBuster 4.3.26:9 2007.10.16 - Webwasher-Gateway 6.6.1 2007.10.16 - weitere Informationen File size: 40236 bytes MD5: 3bf30ac9030bf7168572b452af63cfa6 SHA1: df0ddfcc7738ebe45c778a8e97cf5a120b5a32e4 .... Danke Dir für deine Hilfe |
|
17.10.2007, 00:50
| #4 |
| /// Helfer-Team | shfaymzhlr.exe Die PF-Datei ist harmlos, darin legt Windows nur Informationen ab, mit denen es in Zukunft Programme schneller starten kann, sind also Daten von Windows. Bei den anderen Dateinamen weiß ich aber schon, was los ist, Navipromo. Dass der O4-Eintrag sichtbar ist, deutet aber an, dass die Software eben nicht mehr läuft, normalerweise versteckt die den Eintrag mit einem Rootkit, aber wir werden sehen. Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Außerdem: Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab. Scanner wieder einschalten, bevor Du ins Netz gehst! Nun alle Logs posten. |
|
17.10.2007, 06:02
| #5 |
| | shfaymzhlr.exe Also ich strate mal: GMER 1.0.13.12551 - http://www.gmer.net Rootkit scan 2007-10-17 06:24:47 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.13 ---- SSDT 876F98A8 ZwAlertResumeThread SSDT 876F83A8 ZwAlertThread SSDT 899A7838 ZwAllocateVirtualMemory SSDT 89B60A80 ZwConnectPort SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey SSDT 87701710 ZwCreateMutant SSDT 8985A838 ZwCreateThread SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey SSDT 8989A650 ZwFreeVirtualMemory SSDT 87700C10 ZwImpersonateAnonymousToken SSDT 89A480B0 ZwImpersonateThread SSDT 86E5E6F8 ZwMapViewOfSection SSDT 876E8C10 ZwOpenEvent SSDT 89847348 ZwOpenProcessToken SSDT 87754618 ZwOpenThreadToken SSDT 898F1008 ZwResumeThread SSDT 8770A3A8 ZwSetContextThread SSDT 876E7710 ZwSetInformationProcess SSDT 876F1C10 ZwSetInformationThread SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey SSDT 86E89628 ZwSuspendProcess SSDT 876F73A8 ZwSuspendThread SSDT 89A3DCD8 ZwTerminateProcess SSDT 876F2B18 ZwTerminateThread SSDT 899C2DC8 ZwUnmapViewOfSection SSDT 872C0690 ZwWriteVirtualMemory ---- Devices - GMER 1.0.13 ---- AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F745B1DE] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F745B1DE] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F745B454] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F745B1DE] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F744EF4C] fltMgr.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_READ [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_POWER [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_READ [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_WRITE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_EA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_POWER [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_READ [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_WRITE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_EA [ |
|
17.10.2007, 06:03
| #6 |
| | shfaymzhlr.exe A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_POWER [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [F745B1DE] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [F745B1DE] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [F745B454] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [F745B1DE] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [F744EF4C] fltMgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [F744EF4C] fltMgr.sys ---- Registry - GMER 1.0.13 ---- Reg \Registry\USER\S-1-5-21-484763869-1454471165-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY@?? 0x9F 0x35 0xCB 0x5F ... Reg \Registry\USER\S-1-5-21-484763869-1454471165-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY@?? 0x41 0xE0 0x42 0x8C ... ---- Files - GMER 1.0.13 ---- ADS C:\Dokumente und Einstellungen\INr23I\Favoriten\Onlineshop\BitDefender Internet Security für 54,99 :favicon ---- EOF - GMER 1.0.13 ---- catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run BigDog305 = C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@?????????????? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 |
|
17.10.2007, 06:04
| #7 |
| | shfaymzhlr.exe Dann noch Rootkid Reveal .... HKU\S-1-5-21-484763869-1454471165-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 13.10.2007 22:20 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAC* 31.08.2007 11:24 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 31.08.2007 11:24 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 17.10.2007 06:31 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77 17.10.2007 06:28 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\F38E0E5F.TMP 17.10.2007 06:42 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\INr23I\Lokale Einstellungen\Temp\Rar$EX00.875\Eula.txt 28.07.2006 08:32 6.84 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\INr23I\Lokale Einstellungen\Temp\Rar$EX00.875\RootkitRevealer.chm 07.12.2005 15:19 99.77 KB Visible in Windows API, but not in MFT or directory index. C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\2007-10-17-1410.kc 17.10.2007 06:29 145.46 KB Visible in Windows API, but not in MFT or directory index. C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\2007-10-17-16ce.kc 17.10.2007 06:33 145.46 KB Hidden from Windows API. C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20071016.009\vscanmsx.dat 17.10.2007 06:35 2.02 KB Hidden from Windows API. C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 17.10.2007 06:32 64.00 KB Visible in Windows API, but not in MFT or directory index. |
|
17.10.2007, 06:06
| #8 |
| | shfaymzhlr.exe .. und zu letzt filelist. Mir ist da eingefallen das ich die Datei mit dem SecurityTaskManager in einen Quarantäneordner verschoben habe, ist das negativ für den Scan? ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8045-855D Verzeichnis von C:\ 17.10.2007 06:30 2.145.386.496 pagefile.sys 12.10.2007 21:49 4.219 rapport.txt 12.10.2007 21:44 413 boot.ini 08.09.2007 19:52 0 AdobeDebug.txt 07.09.2007 13:13 50 AUTOEXEC.BAT 31.08.2007 11:03 0 MSDOS.SYS 31.08.2007 11:03 0 IO.SYS 31.08.2007 11:03 0 CONFIG.SYS 28.02.2006 14:00 251.184 ntldr 28.02.2006 14:00 47.564 NTDETECT.COM 28.02.2006 14:00 4.952 bootfont.bin 11 Datei(en) 2.145.694.878 Bytes 0 Verzeichnis(se), 19.758.837.760 Bytes frei ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8045-855D Verzeichnis von C:\WINDOWS\system32 17.10.2007 06:29 54.524 BMXState-{00000001-00000000-00000008-00001102-00000005-00311102}.rfx 17.10.2007 06:29 64.900 DVCState-{00000001-00000000-00000008-00001102-00000005-00311102}.rfx 17.10.2007 06:29 1.080 settings.sfm 17.10.2007 06:29 54.524 BMXStateBkp-{00000001-00000000-00000008-00001102-00000005-00311102}.rfx 17.10.2007 06:29 1.080 settingsbkup.sfm 16.10.2007 23:32 14.848 Thumbs.db 16.10.2007 00:06 390 shfaymzhlr_navps.dat 16.10.2007 00:05 6.756 shfaymzhlr.dat 15.10.2007 09:19 13.646 wpa.dbl 12.10.2007 21:49 0 tmp.txt 12.10.2007 21:49 3.126 tmp.reg 12.10.2007 12:07 276.480 djythwoo.exe 05.10.2007 00:33 268.288 dgtahb.exe 04.10.2007 22:06 274.432 sqqsva.exe 04.10.2007 19:29 317.394 shfaymzhlr_nav.dat 04.10.2007 19:29 22 nvs2.inf 04.10.2007 00:36 25.600 WS2Fix.exe 03.10.2007 14:08 10.384 jupdate-1.5.0_12-b04.log 28.09.2007 07:19 18.089.592 MRT.exe 12.09.2007 16:17 120 Log_20070912_161717_EC0.txt 12.09.2007 16:17 120 Log_20070912_161717_120.txt 12.09.2007 16:17 120 Log_20070912_161716_344.txt 12.09.2007 16:17 120 Log_20070912_161716_E8C.txt 12.09.2007 16:03 120 Log_20070912_160309_3D8.txt 12.09.2007 16:03 120 Log_20070912_160308_6FC.txt 12.09.2007 16:03 120 Log_20070912_160308_270.txt 12.09.2007 16:03 120 Log_20070912_160307_C20.txt 11.09.2007 11:48 120 Log_20070911_114823_D4C.txt 11.09.2007 11:48 120 Log_20070911_114823_D5C.txt 11.09.2007 11:48 120 Log_20070911_114822_F70.txt 11.09.2007 11:48 120 Log_20070911_114821_8C0.txt 10.09.2007 17:41 120 Log_20070910_174113_AA4.txt 10.09.2007 17:41 120 Log_20070910_174112_DD0.txt 10.09.2007 17:41 120 Log_20070910_174112_1C8.txt 10.09.2007 17:41 120 Log_20070910_174111_9A0.txt 10.09.2007 15:44 120 Log_20070910_154412_8D4.txt 10.09.2007 15:44 120 Log_20070910_154412_1C8.txt 10.09.2007 15:44 120 Log_20070910_154411_618.txt 10.09.2007 15:44 120 Log_20070910_154411_CC4.txt 10.09.2007 12:12 120 Log_20070910_121253_294.txt 10.09.2007 12:12 120 Log_20070910_121253_5DC.txt 10.09.2007 12:12 120 Log_20070910_121252_D94.txt 10.09.2007 12:12 120 Log_20070910_121251_828.txt 10.09.2007 11:38 120 Log_20070910_113850_DC4.txt 10.09.2007 11:38 120 Log_20070910_113849_A70.txt 10.09.2007 11:38 120 Log_20070910_113848_9BC.txt 10.09.2007 11:38 120 Log_20070910_113848_9AC.txt 10.09.2007 11:34 10.752 BASSMOD.dll 08.09.2007 22:10 108.144 CmdLineExt.dll 08.09.2007 19:25 116.560 FNTCACHE.DAT 08.09.2007 19:11 108.544 pxcpyi64.exe 08.09.2007 19:11 109.568 pxinsi64.exe 08.09.2007 15:53 2.278.400 TUKernel.exe 06.09.2007 00:22 289.144 VCCLSID.exe 31.08.2007 16:24 320.424 perfh007.dat 31.08.2007 16:24 314.644 perfh009.dat 31.08.2007 16:24 49.372 perfc007.dat 31.08.2007 16:24 40.972 perfc009.dat 31.08.2007 16:24 725.674 PerfStringBackup.INI 31.08.2007 12:12 128.998 TZLog.log 31.08.2007 12:00 0 h323log.txt 31.08.2007 11:42 16 coh.cache 31.08.2007 11:35 48.776 S32EVNT1.DLL 31.08.2007 11:30 13.646 wpa.bak 31.08.2007 11:27 131.421 nvapps.xml 31.08.2007 11:21 409.600 wrap_oal.dll 31.08.2007 11:21 86.016 OpenAL32.dll 31.08.2007 11:05 403 $winnt$.inf 31.08.2007 11:03 2.951 CONFIG.NT 31.08.2007 11:03 16.832 amcompat.tlb 31.08.2007 11:03 23.392 nscompat.tlb 31.08.2007 11:03 488 logonui.exe.manifest 31.08.2007 11:03 488 WindowsLogon.manifest 31.08.2007 11:03 749 sapi.cpl.manifest 31.08.2007 11:03 749 cdplayer.exe.manifest 31.08.2007 11:03 749 wuaucpl.cpl.manifest 31.08.2007 11:03 749 nwc.cpl.manifest 31.08.2007 11:03 749 ncpa.cpl.manifest 31.08.2007 11:01 21.740 emptyregdb.dat 21.08.2007 08:16 683.520 inetcomm.dll 20.08.2007 11:55 232.960 webcheck.dll 20.08.2007 11:55 1.152.000 urlmon.dll 20.08.2007 11:55 671.232 mstime.dll 20.08.2007 11:55 824.832 wininet.dll 20.08.2007 11:55 102.400 occache.dll 20.08.2007 11:55 105.984 url.dll 20.08.2007 11:55 477.696 mshtmled.dll 20.08.2007 11:55 3.584.512 mshtml.dll 20.08.2007 11:55 193.024 msrating.dll 20.08.2007 11:55 52.224 msfeedsbs.dll 20.08.2007 11:55 459.264 msfeeds.dll 20.08.2007 11:55 6.058.496 ieframe.dll 20.08.2007 11:55 44.544 iernonce.dll 20.08.2007 11:55 267.776 iertutil.dll 20.08.2007 11:55 27.648 jsproxy.dll 20.08.2007 11:55 1.824.768 inetcpl.cpl 20.08.2007 11:55 383.488 ieapfltr.dll 20.08.2007 11:55 230.400 ieaksie.dll 20.08.2007 11:55 384.512 iedkcs32.dll 20.08.2007 11:55 63.488 icardie.dll 20.08.2007 11:55 214.528 dxtrans.dll 20.08.2007 11:55 153.088 ieakeng.dll 20.08.2007 11:55 132.608 extmgr.dll 20.08.2007 11:55 124.928 advpack.dll 17.08.2007 16:23 126.976 nvrszht.dll 17.08.2007 16:23 225.280 nvrszhc.dll 17.08.2007 16:23 258.048 nvrstr.dll 17.08.2007 16:23 253.952 nvrssv.dll 17.08.2007 16:23 258.048 nvrssl.dll 17.08.2007 16:23 258.048 nvrssk.dll 17.08.2007 16:23 2.441.216 nvwssr.dll 17.08.2007 16:23 270.336 nvrsru.dll 17.08.2007 16:23 266.240 nvrsptb.dll 17.08.2007 16:23 274.432 nvrspt.dll 17.08.2007 16:23 253.952 nvrspl.dll 17.08.2007 16:23 253.952 nvrsno.dll 17.08.2007 16:23 274.432 nvrsnl.dll 17.08.2007 16:23 262.144 nvrsko.dll 17.08.2007 16:23 266.240 nvrsja.dll 17.08.2007 16:23 278.528 nvrsit.dll 17.08.2007 16:23 258.048 nvrshu.dll 17.08.2007 16:23 327.680 nvrshe.dll 17.08.2007 16:23 282.624 nvrsfr.dll 17.08.2007 16:23 249.856 nvrsfi.dll 17.08.2007 16:23 274.432 nvrsesm.dll 17.08.2007 16:23 282.624 nvrses.dll 17.08.2007 16:23 245.760 nvrseng.dll 17.08.2007 16:23 282.624 nvrsel.dll 17.08.2007 16:23 278.528 nvrsde.dll 17.08.2007 16:23 253.952 nvrsda.dll 17.08.2007 16:23 249.856 nvrscs.dll 17.08.2007 16:23 212.992 nvwrsja.dll 17.08.2007 16:23 196.608 nvwrsko.dll 17.08.2007 16:23 1.626.112 nwiz.exe 17.08.2007 16:23 327.680 nvrsar.dll 17.08.2007 16:23 6.746.112 nvoglnt.dll 17.08.2007 16:23 286.720 nvwrseng.dll 17.08.2007 16:23 286.720 nvnt4cpl.dll 17.08.2007 16:23 167.936 nvwrszht.dll 17.08.2007 16:23 1.150.976 nvmobls.dll 17.08.2007 16:23 81.920 nvmctray.dll 17.08.2007 16:23 458.752 nvmccssr.dll 17.08.2007 16:23 188.416 nvmccss.dll 17.08.2007 16:23 45.056 nvmccsrs.dll 17.08.2007 16:23 229.376 nvmccs.dll 17.08.2007 16:23 1.478.656 nview.dll 17.08.2007 16:23 3.166.208 nvgamesr.dll 17.08.2007 16:23 3.334.144 nvgames.dll 17.08.2007 16:23 307.200 nvexpbar.dll 17.08.2007 16:23 1.339.392 nvdspsch.exe 17.08.2007 16:23 5.509.120 nvdispsr.dll 17.08.2007 16:23 6.344.704 nvdisps.dll 17.08.2007 16:23 17.463 nvdisp.nvu 17.08.2007 16:23 1.073.152 nvcpluir.dll 17.08.2007 16:23 753.664 nvcplui.exe 17.08.2007 16:23 8.478.720 nvcpl.dll 17.08.2007 16:23 413.696 nvcpl.cpl 17.08.2007 16:23 147.456 nvcolor.exe 17.08.2007 16:23 36.864 nvcodins.dll 17.08.2007 16:23 36.864 nvcod.dll 17.08.2007 16:23 335.872 nvwrses.dll 17.08.2007 16:23 299.008 nvwrsno.dll 17.08.2007 16:23 294.912 nvwrspl.dll 17.08.2007 16:23 442.368 nvappbar.exe 17.08.2007 16:23 360.448 nvapi.dll 17.08.2007 16:23 5.860.736 nv4_disp.dll 17.08.2007 16:23 323.584 nvwrspt.dll 17.08.2007 16:23 319.488 nvwrsptb.dll 17.08.2007 16:23 327.680 nvwrsesm.dll 17.08.2007 16:23 425.984 keystone.exe 17.08.2007 16:23 315.392 nvwrsru.dll 17.08.2007 16:23 303.104 nvwrsfi.dll 17.08.2007 16:23 163.840 nvwrszhc.dll 17.08.2007 16:23 466.944 nvshell.dll 17.08.2007 16:23 303.104 nvwrstr.dll 17.08.2007 16:23 73.728 nvtuicpl.cpl 17.08.2007 16:23 327.680 nvwrsfr.dll 17.08.2007 16:23 356.352 nvudisp.exe 17.08.2007 16:23 3.551.232 nvvitvs.dll 17.08.2007 16:23 3.629.056 nvvitvsr.dll 17.08.2007 16:23 81.920 nvwddi.dll 17.08.2007 16:23 1.703.936 nvwdmcpl.dll 17.08.2007 16:23 1.019.904 nvwimg.dll 17.08.2007 16:23 282.624 nvwrsar.dll 17.08.2007 16:23 286.720 nvwrscs.dll 17.08.2007 16:23 294.912 nvwrssv.dll 17.08.2007 16:23 294.912 nvwrsda.dll 17.08.2007 16:23 311.296 nvwrsde.dll 17.08.2007 16:23 2.371.584 nvwss.dll 17.08.2007 16:23 2.854.912 nvmoblsr.dll 17.08.2007 16:23 299.008 nvwrssk.dll 17.08.2007 16:23 278.528 nvwrshe.dll 17.08.2007 16:23 335.872 nvwrsel.dll 17.08.2007 16:23 315.392 nvwrshu.dll 17.08.2007 16:23 319.488 nvwrsnl.dll 17.08.2007 16:23 323.584 nvwrsit.dll 17.08.2007 16:23 303.104 nvwrssl.dll 17.08.2007 16:23 155.716 nvsvc32.exe 17.08.2007 12:19 13.824 ieudinit.exe 17.08.2007 12:19 63.488 ie4uinit.exe 17.08.2007 09:34 161.792 ieakui.dll 30.07.2007 19:20 30.040 wuaucpl.cpl.mui 30.07.2007 19:20 30.040 wuapi.dll.mui 30.07.2007 19:19 1.712.984 wuaueng.dll 30.07.2007 19:19 549.720 wuapi.dll 30.07.2007 19:19 325.976 wucltui.dll 30.07.2007 19:19 216.408 wuaucpl.cpl 30.07.2007 19:19 203.096 wuweb.dll 30.07.2007 19:19 92.504 cdm.dll 30.07.2007 19:19 53.080 wuauclt.exe 30.07.2007 19:19 43.352 wups2.dll 30.07.2007 19:18 34.136 wucltui.dll.mui 30.07.2007 19:18 33.624 wups.dll 30.07.2007 19:18 20.824 wuaueng.dll.mui 18.07.2007 14:42 60.416 tzchange.exe 09.07.2007 15:11 584.192 rpcrt4.dll 26.06.2007 08:08 1.104.896 msxml3.dll 19.06.2007 15:31 282.112 gdi32.dll 15.06.2007 10:13 474.624 shlwapi.dll 15.06.2007 10:13 1.498.112 shdocvw.dll 15.06.2007 10:13 1.056.256 danim.dll 15.06.2007 10:13 152.064 cdfview.dll 15.06.2007 10:13 1.022.976 browseui.dll 14.06.2007 03:56 373.760 xpsp3res.dll 31.05.2007 19:30 266.088 xactengine2_8.dll 31.05.2007 19:29 18.280 x3daudio1_2.dll 17.05.2007 13:28 549.376 oleaut32.dll 16.05.2007 16:45 1.124.720 D3DCompiler_34.dll 16.05.2007 16:45 443.752 d3dx10_34.dll 16.05.2007 16:45 3.497.832 d3dx9_34.dll 15.05.2007 19:06 71.208 PhysXLoader.dll 08.05.2007 15:03 1.275.392 msxml4.dll 02.05.2007 04:01 127.078 javaws.exe 02.05.2007 04:01 49.265 jpicpl32.cpl 02.05.2007 02:23 53.346 javaw.exe 02.05.2007 02:22 49.248 java.exe 2386 Datei(en) 564.097.766 Bytes 0 Verzeichnis(se), 19.764.170.752 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8045-855D Verzeichnis von C:\WINDOWS\Prefetch 17.10.2007 06:51 11.726 FIND.EXE-0EC32F1E.pf 17.10.2007 06:51 38.980 CMD.EXE-087B4001.pf 17.10.2007 06:51 17.858 VERCLSID.EXE-3667BD89.pf 17.10.2007 06:51 18.576 LUCALLBACKPROXY.EXE-0B5F632D.pf 17.10.2007 06:51 32.280 AUPDATE.EXE-089630E1.pf 17.10.2007 06:51 113.876 LUCOMS~1.EXE-02DB5950.pf 17.10.2007 06:49 83.348 IEXPLORE.EXE-2CA9778D.pf 17.10.2007 06:49 18.204 FBOXUPD.EXE-201EA6D5.pf 17.10.2007 06:47 15.956 NOTEPAD.EXE-336351A9.pf 17.10.2007 06:43 5.886 CHCP.COM-18156052.pf 17.10.2007 06:32 52.726 WMIPRVSE.EXE-28F301A9.pf 17.10.2007 06:32 155.550 WUAUCLT.EXE-399A8E72.pf 17.10.2007 06:32 15.210 WXLNMDGA.EXE-08C8E8A9.pf 17.10.2007 06:32 16.778 ROOTKITREVEALER.EXE-106A7F3B.pf 17.10.2007 06:32 66.810 WINRAR.EXE-3588DFE8.pf 17.10.2007 06:32 42.964 UNSECAPP.EXE-1A95A33B.pf 17.10.2007 06:32 30.948 STCENTER.EXE-2DCE9FDD.pf 17.10.2007 06:32 41.232 CTXFISPI.EXE-13A6C573.pf 17.10.2007 06:32 21.112 FWEBPROT.EXE-039316ED.pf 17.10.2007 06:32 14.676 CTFMON.EXE-0E17969B.pf 17.10.2007 06:32 16.910 VM305_STI.EXE-370FE4A0.pf 17.10.2007 06:32 29.130 PIFSVC.EXE-29FA40EF.pf 17.10.2007 06:32 1.616.936 NTOSBOOT-B00DFAAD.pf 17.10.2007 06:32 7.320 INSTLSP.EXE-20F3E0E7.pf 17.10.2007 06:32 11.256 AMD_DC_OPT.EXE-1534D999.pf 17.10.2007 06:28 66.512 CATCHME.EXE-06333948.pf 17.10.2007 06:26 35.834 TU_LOGONUI.EXE-381C5638.pf 17.10.2007 06:21 32.334 GMER.EXE-0D25762F.pf 17.10.2007 06:16 32.986 GMER.EXE-34C0DFE9.pf 17.10.2007 06:16 37.734 NAVSTUB.EXE-06760F0E.pf 17.10.2007 06:14 34.872 GMER.EXE-34215F5D.pf 17.10.2007 06:07 20.942 RUNDLL32.EXE-2E5AF1D7.pf 17.10.2007 02:01 30.718 SSAUTORN.EXE-26BC4D68.pf 17.10.2007 01:25 18.806 TASKMGR.EXE-20256C55.pf 16.10.2007 23:47 32.718 MSCONFIG.EXE-35E4DAE9.pf 16.10.2007 23:42 72.306 WINWORD.EXE-3395695A.pf 16.10.2007 23:37 14.466 RUNDLL32.EXE-36E3222E.pf 16.10.2007 21:53 34.862 RUNDLL32.EXE-37A7C420.pf 16.10.2007 18:24 82.316 TWOWORLDS.EXE-0EF2EF91.pf 16.10.2007 18:17 38.956 RUNDLL32.EXE-2BF3472E.pf 16.10.2007 18:16 17.424 CCLEANER.EXE-065E2F3F.pf 16.10.2007 18:07 109.172 COH32.EXE-1453A4B6.pf 16.10.2007 18:06 142.798 NAVW32.EXE-2944DF24.pf 16.10.2007 18:03 24.228 CCSETUP201.EXE-117B8E06.pf 16.10.2007 17:58 14.636 HIJACKTHIS.EXE-28A24CBD.pf 16.10.2007 17:45 104.404 OUTLOOK.EXE-21C6162B.pf 16.10.2007 17:42 58.530 TASKMAN.EXE-02283313.pf 16.10.2007 17:42 14.986 SYMLCSVC.EXE-04DC2DC5.pf 16.10.2007 17:42 20.144 ALG.EXE-0F138680.pf 16.10.2007 17:42 18.068 IMAPI.EXE-0BF740A4.pf 16.10.2007 17:42 11.560 SYMLCSV1.EXE-20BD3332.pf 16.10.2007 17:42 22.104 RUNDLL32.EXE-35A483DA.pf 16.10.2007 12:32 51.754 NMIndexStoreSvr.exe-1DBCF9FD.pf 16.10.2007 12:32 15.466 NMINDEXINGSERVICE.EXE-19799BA6.pf 16.10.2007 09:59 6.508 LOGON.SCR-151EFAEA.pf 16.10.2007 09:45 53.212 HELPSVC.EXE-2878DDA2.pf 16.10.2007 08:50 375.084 Layout.ini 16.10.2007 07:57 27.404 RUNDLL32.EXE-1340EF7F.pf 16.10.2007 07:57 29.762 DLLML.EXE-0D28DCD9.pf 16.10.2007 07:57 16.196 NVRAIDSERVICE.EXE-1C06C75A.pf 16.10.2007 07:57 17.232 USERINIT.EXE-30B18140.pf 16.10.2007 07:57 88.714 CCAPP.EXE-2EA3695D.pf 16.10.2007 07:57 132.304 EXPLORER.EXE-082F38A9.pf 16.10.2007 07:57 27.720 NWIZ.EXE-2D0F9FBC.pf 16.10.2007 07:57 22.910 RUNDLL32.EXE-415F88EC.pf 15.10.2007 19:34 20.872 RUNDLL32.EXE-2A94BB85.pf 15.10.2007 19:25 14.328 TWO_WORLDS_SERVICE_RELEASE_1.-33FB5801.pf 15.10.2007 19:24 6.552 DXDLLREG.EXE-0C87AD0E.pf 15.10.2007 19:24 26.414 MSIEXEC.EXE-2F8A8CAE.pf 15.10.2007 19:24 22.596 VCREDI~3.EXE-20C4380F.pf 15.10.2007 19:24 10.382 VCREDI~4.EXE-2971D815.pf 15.10.2007 19:23 7.912 DXSETUP.EXE-1EF5D69E.pf 15.10.2007 19:23 11.718 PHYSX_~2.EXE-2F9D3204.pf 15.10.2007 19:10 12.584 RUNDLL32.EXE-451FC2C0.pf 15.10.2007 19:10 14.608 SETUP.EXE-393E66AE.pf 15.10.2007 19:10 12.784 AUTORUN.EXE-055703AF.pf 15.10.2007 19:10 40.236 SHFAYMZHLR.EXE-0FFD8CC5.pf 15.10.2007 19:10 14.806 OSCHECK.EXE-28DA21EB.pf 15.10.2007 13:20 72.702 DFRGNTFS.EXE-269967DF.pf 15.10.2007 13:20 16.518 DEFRAG.EXE-273F131E.pf 15.10.2007 11:42 66.122 INTEGRATOR.EXE-3967D297.pf 15.10.2007 11:31 84.854 REGISTRYCLEANER.EXE-17B6D63B.pf 15.10.2007 11:31 54.544 REGISTRYDEFRAG.EXE-3B4122CA.pf 15.10.2007 11:24 83.648 AD-AWARE2007.EXE-1AE91ED3.pf 15.10.2007 10:10 78.772 NAPSTER.EXE-2B6A5F0E.pf 15.10.2007 09:48 71.716 MSNMSGR.EXE-091111D0.pf 86 Datei(en) 5.249.598 Bytes 0 Verzeichnis(se), 19.764.207.616 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8045-855D Verzeichnis von C:\WINDOWS 17.10.2007 06:31 0 0.log 17.10.2007 06:31 1.382.553 WindowsUpdate.log 17.10.2007 06:31 159 wiadebug.log 17.10.2007 06:31 50 wiaservc.log 17.10.2007 06:31 2.048 bootstat.dat 17.10.2007 06:29 23.278 SchedLgU.Txt 17.10.2007 06:21 250 gmer.ini 17.10.2007 06:14 80 gmer_uninstall.cmd 17.10.2007 06:14 585.791 gmer.dll 16.10.2007 18:24 69 NeroDigital.ini 12.10.2007 21:44 227 system.ini 12.10.2007 21:44 631 win.ini 04.10.2007 19:28 961.185 pack.epk 02.10.2007 23:08 151 PhotoSnapViewer.INI 08.09.2007 19:12 316.640 WMSysPr9.prx 08.09.2007 19:11 4.161 ODBCINST.INI 08.09.2007 15:45 20 rgsavpaint.rgk 31.08.2007 16:00 400 ODBC.INI 31.08.2007 12:02 0 AS_Debug.txt 31.08.2007 12:02 27.575 Ascd_tmp.ini 31.08.2007 11:57 0 Sti_Trace.log 31.08.2007 11:06 8.192 REGLOCS.OLD 31.08.2007 11:03 0 control.ini 31.08.2007 11:03 749 WindowsShell.Manifest 31.08.2007 11:01 37 vbaddin.ini 31.08.2007 11:01 36 vb.ini 15.08.2007 11:45 524.288 opuc.dll 29.06.2007 09:38 581.632 gmer.exe 27.06.2007 19:05 972.072 UNNeroMediaHome.exe 26.06.2007 14:12 972.072 UNNeroVision.exe 13.06.2007 15:21 1.036.288 explorer.exe 87 Datei(en) 24.994.460 Bytes 0 Verzeichnis(se), 19.763.023.872 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8045-855D Verzeichnis von C:\WINDOWS\tasks 17.10.2007 06:31 6 SA.DAT 15.10.2007 20:00 660 Norton Internet Security - Systemprfung ausfhren - INr23I.job 12.10.2007 18:58 398 1-Klick-Wartung.job 28.02.2006 14:00 65 desktop.ini 4 Datei(en) 1.129 Bytes 0 Verzeichnis(se), 19.762.106.368 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8045-855D Verzeichnis von C:\WINDOWS\temp 04.10.2007 19:29 10 msksetup.log 04.10.2007 19:28 961.126 NSIS_install_msgskinner.exe 31.08.2007 11:40 1.659 Norton_SPALOG_8_31_2007_772984.txt 31.08.2007 11:40 12.476 IDSinst.LOG 01.06.2005 03:02 65.536 CTPBSeq.exe 5 Datei(en) 1.040.807 Bytes 0 Verzeichnis(se), 19.761.254.400 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8045-855D Verzeichnis von C:\DOKUME~1\INr23I\LOKALE~1\Temp 17.10.2007 06:51 130.255 filelist.txt 17.10.2007 06:31 32.768 ~DFDC45.tmp 17.10.2007 06:31 192 osCheck Vista Migration 2007-10-17 06h31m11s.log 17.10.2007 06:27 32.768 ~DFCDE3.tmp 17.10.2007 06:27 192 osCheck Vista Migration 2007-10-17 06h27m37s.log 16.10.2007 17:41 32.768 ~DF4934.tmp 16.10.2007 17:41 192 osCheck Vista Migration 2007-10-16 17h41m17s.log 16.10.2007 00:05 49.152 ~DF786A.tmp 15.10.2007 19:09 32.768 ~DF4ACC.tmp 15.10.2007 19:09 192 osCheck Vista Migration 2007-10-15 19h09m15s.log 15.10.2007 12:13 10.235.000 cra6.tmp 15.10.2007 12:13 10.235.000 cra5.tmp 15.10.2007 11:35 32.768 ~DF2C81.tmp 15.10.2007 11:35 192 osCheck Vista Migration 2007-10-15 11h35m35s.log 15.10.2007 10:43 32.768 ~DFAB4D.tmp 15.10.2007 09:36 32.768 ~DFFF88.tmp 15.10.2007 09:36 192 osCheck Vista Migration 2007-10-15 09h36m22s.log 15.10.2007 09:34 16.384 ~DFDA3B.tmp 15.10.2007 09:20 32.768 ~DFF2EC.tmp 15.10.2007 09:20 192 osCheck Vista Migration 2007-10-15 09h20m13s.log 13.10.2007 22:20 13.592 temp.ani 13.10.2007 22:20 212.992 drm_dyndata_7340007.dll 13.10.2007 22:14 32.768 ~DFD8A4.tmp 13.10.2007 22:14 192 osCheck Vista Migration 2007-10-13 22h14m35s.log 13.10.2007 14:32 16.384 ~DFEF18.tmp 13.10.2007 11:55 192 osCheck Vista Migration 2007-10-13 11h55m13s.log 12.10.2007 22:04 32.768 ~DFED6A.tmp 12.10.2007 22:04 192 osCheck Vista Migration 2007-10-12 22h04m29s.log 12.10.2007 20:50 416 java_install_reg.log 12.10.2007 20:47 114.688 ~DFAC71.tmp 12.10.2007 12:12 4.897 jusched.log 12.10.2007 12:07 32.768 ~DF529A.tmp 12.10.2007 12:07 192 osCheck Vista Migration 2007-10-12 12h07m36s.log 27.04.2007 03:13 14.204.468 setup_background.wav 02.04.2007 12:00 16.384 UNINST.EXE 23.08.2006 11:13 70.240 uni7.tmp 36 Datei(en) 35.682.412 Bytes 0 Verzeichnis(se), 19.764.199.424 Bytes frei Geändert von Nr23 (17.10.2007 um 06:32 Uhr) |
|
17.10.2007, 07:26
| #9 |
| /// Helfer-Team | shfaymzhlr.exe Schon ok, dass die Datei weg ist. Deshalb ist der Mist nicht mehr aktiv. Weitere dazugehörige Dateien sind, die ebenfalls löschen: Code:
ATTFilter C:\WINDOWS\system32\shfaymzhlr_navps.dat
C:\WINDOWS\system32\shfaymzhlr.dat
C:\WINDOWS\system32\shfaymzhlr_nav.dat
Code:
ATTFilter C:\WINDOWS\system32\djythwoo.exe
C:\WINDOWS\system32\dgtahb.exe
C:\WINDOWS\system32\sqqsva.exe
|
|
17.10.2007, 14:56
| #10 |
| | shfaymzhlr.exe Ich dank Dir Karl. Bei dem scanen der Dateien kam folgendes heraus: Datei sqqsva.exe Ergebnis: 1/31 (3.23%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.17.1 2007.10.17 - AntiVir 7.6.0.23 2007.10.17 - Authentium 4.93.8 2007.10.17 - Avast 4.7.1051.0 2007.10.17 - AVG 7.5.0.488 2007.10.17 - BitDefender 7.2 2007.10.17 - CAT-QuickHeal 9.00 2007.10.16 - ClamAV 0.91.2 2007.10.16 - DrWeb 4.44.0.09170 2007.10.17 - eSafe 7.0.15.0 2007.10.15 - eTrust-Vet 31.2.5216 2007.10.17 - Ewido 4.0 2007.10.17 - FileAdvisor 1 2007.10.17 - Fortinet 3.11.0.0 2007.10.17 - F-Prot 4.3.2.48 2007.10.17 - F-Secure 6.70.13030.0 2007.10.17 - Ikarus T3.1.1.12 2007.10.17 - Kaspersky 7.0.0.125 2007.10.17 - McAfee 5142 2007.10.16 - Microsoft 1.2908 2007.10.16 - NOD32v2 2597 2007.10.17 a variant of Win32/Adware.NaviPromo Norman 5.80.02 2007.10.17 - Panda 9.0.0.4 2007.10.16 - Prevx1 V2 2007.10.17 - Rising 19.45.22.00 2007.10.17 - Sophos 4.22.0 2007.10.17 - Sunbelt 2.2.907.0 2007.10.16 - Symantec 10 2007.10.17 - TheHacker 6.2.8.096 2007.10.17 - VBA32 3.12.2.4 2007.10.17 - VirusBuster 4.3.26:9 2007.10.16 - weitere Informationen File size: 274432 bytes MD5: bad887425048699ad03f396ca69fb0d6 SHA1: 3f3814dc036ea8b51e770e423404a841cf895e0c packers: Malware_Prot.U Datei dgtahb.exe Ergebnis: 1/31 (3.23%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.17.1 2007.10.17 - AntiVir 7.6.0.23 2007.10.17 - Authentium 4.93.8 2007.10.17 - Avast 4.7.1051.0 2007.10.17 - AVG 7.5.0.488 2007.10.17 - BitDefender 7.2 2007.10.17 - CAT-QuickHeal 9.00 2007.10.16 - ClamAV 0.91.2 2007.10.16 - DrWeb 4.44.0.09170 2007.10.17 - eSafe 7.0.15.0 2007.10.15 - eTrust-Vet 31.2.5216 2007.10.17 - Ewido 4.0 2007.10.17 - FileAdvisor 1 2007.10.17 - Fortinet 3.11.0.0 2007.10.17 - F-Prot 4.3.2.48 2007.10.17 - F-Secure 6.70.13030.0 2007.10.17 - Ikarus T3.1.1.12 2007.10.17 - Kaspersky 7.0.0.125 2007.10.17 - McAfee 5142 2007.10.16 - Microsoft 1.2908 2007.10.16 - NOD32v2 2597 2007.10.17 a variant of Win32/Adware.NaviPromo Norman 5.80.02 2007.10.17 - Panda 9.0.0.4 2007.10.16 - Prevx1 V2 2007.10.17 - Rising 19.45.22.00 2007.10.17 - Sophos 4.22.0 2007.10.17 - Sunbelt 2.2.907.0 2007.10.16 - Symantec 10 2007.10.17 - TheHacker 6.2.8.096 2007.10.17 - VBA32 3.12.2.4 2007.10.17 - VirusBuster 4.3.26:9 2007.10.17 - weitere Informationen File size: 268288 bytes MD5: 547389afc0d3ded7b06118567f9c2004 SHA1: 961767a1feb58282a78b15df254f77cdf6485baf Datei djythwoo.exe Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.17.1 2007.10.17 - AntiVir 7.6.0.23 2007.10.17 - Authentium 4.93.8 2007.10.17 - Avast 4.7.1051.0 2007.10.17 - AVG 7.5.0.488 2007.10.17 - BitDefender 7.2 2007.10.17 - CAT-QuickHeal 9.00 2007.10.16 - ClamAV 0.91.2 2007.10.16 - DrWeb 4.44.0.09170 2007.10.17 - eSafe 7.0.15.0 2007.10.15 - eTrust-Vet 31.2.5216 2007.10.17 - Ewido 4.0 2007.10.17 - FileAdvisor 1 2007.10.17 - Fortinet 3.11.0.0 2007.10.17 - F-Prot 4.3.2.48 2007.10.17 - F-Secure 6.70.13030.0 2007.10.17 - Ikarus T3.1.1.12 2007.10.17 - Kaspersky 7.0.0.125 2007.10.17 - McAfee 5142 2007.10.16 - Microsoft 1.2908 2007.10.16 - NOD32v2 2597 2007.10.17 - Norman 5.80.02 2007.10.17 - Panda 9.0.0.4 2007.10.16 - Prevx1 V2 2007.10.17 - Rising 19.45.22.00 2007.10.17 - Sophos 4.22.0 2007.10.17 - Sunbelt 2.2.907.0 2007.10.16 - Symantec 10 2007.10.17 - TheHacker 6.2.8.096 2007.10.17 - VBA32 3.12.2.4 2007.10.17 - VirusBuster 4.3.26:9 2007.10.17 - Webwasher-Gateway 6.6.1 2007.10.17 - weitere Informationen File size: 276480 bytes MD5: d39fafcb438628948c4ae25cd86439c9 SHA1: acd06bc867cf76fa6c21f432fd8c8422954b7678 packers: Malware_Prot.U Reicht es wenn ich die Dateien lösche oder brauche ich ein Programm dafür? Ich dachte immer mein System ist gut geschützt, verdammtes Norton  Edit: Vielleicht bin ich ja jetzt ein bisschen Paranoid, habe gerade einen Interessanten Post gelesen Und irgendwie kommen mir die Symptome bekannt vor, könnte es sich bei mir auch um Zlob handeln? Geändert von Nr23 (17.10.2007 um 15:18 Uhr) |
|
17.10.2007, 17:35
| #11 |
| | shfaymzhlr.exe Ich glaube jetzt ist es an der Zeit in Panik auszubrechen!  Habe mal rein aus Interesse escan laufen lassen und folgendes gefunden: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL
eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with aureate Spyware/Adware (privacy policy.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with aureate Spyware/Adware (privacy policy.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with spywaresecure Corrupted Adware/Spyware (C:\WINDOWS\pack.epk)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\messengerskinner.exe//PE_Patch.UPX//UPX//EXE-file//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\175725.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\176275.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\180241.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MessengerSkinner\uninst.exe//stream//data0005//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Temp\NSIS_install_msgskinner.exe//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Startmenü\programme\messengerskinner\privacy policy.lnk
Offending file found: C:\Dokumente und Einstellungen\INr23I\Startmenü\Programme\messengerskinner\privacy policy.lnk
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\pack.epk
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\livesvc !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{DC0684E7-82F7-429B-B0AA-62762159D75E}\RP54\A0003361.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 88920
Gefundene Viren: 24
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 6
Dauer des Scans bisher: 00:35:09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Batchstart: 18:28:42,15
Batchende: 18:28:44,46
Was mache ich jetzt? PS: Ach bitte sag mir nich das ich das OS neu aufsetzten muss!!! Edit: Ich versuche jetzt mal mit SmitfraudFix die Sachen unter Kontrolle zu bekommen. Geändert von Nr23 (17.10.2007 um 18:11 Uhr) |
|
17.10.2007, 18:33
| #12 |
| /// Helfer-Team | shfaymzhlr.exe Immer die Ruhe bewahren  Bei den online gescannten Dateien wäre es sehr gut, dass Du von ihnen vor dem löschen ein Backup machst, indem Du sie in ein Zip packst. Dort können sie nichts böses tun, jedenfalls nicht solange Du sie nicht wieder rausholst. Das könnte was ganz neues sein, die sollten wir den Scannerherstellern zukommen lassen. Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread im Trojaner-Board an. Kopiere die vorhandenen Scanresultate für die Dateien. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.
Wegen dem Escan kann ich dich beruhigen, der Hauptteil der Meldungen sind die typischen Escanfehlalarme, es geht um Bestandteile des Smitfraudfix, die er nicht leiden kann. Anscheinend hast Du den schon früher eingesetzt. Lass ihn jetzt ruhig nochmal laufen, kopiere aber seine Logs hierher, damit wir sehen können, was er getan hat. Weitere Escanmeldungen sind wegen dem "Tune up styler", ich wußte bisher nicht, dass der wie viele kostenlose Programme die Adware Whenu enthält. Das ist deine Entscheidung, diese Adware ist der Preis dafür, das Programm zu benutzen. Ich empfehle Deinstallation. Dann geht es um Messengerskinner, anscheined ist der die Quelle der Navipromo-Infektion gewesen, den auf jeden Fall deinstallieren, Navipromo ist schon einen Grad schlimmer als Whenu. Ein paar weitere Scans werden wohl noch erforderlich werden, es sieht aber nicht danach aus, dass Du neu installieren müsstest. |
|
17.10.2007, 19:01
| #13 |
| | shfaymzhlr.exe Also, habe die Dateien auf der Seite hinterlassen: 1.dgtahb.rar 2.sqqsva.rar 3.shfaymzhlr.rar 4.djythwoo.rar Link: Spykiller Soll ich den link auch in das Forum Posten?! Starte gleich eScan neu und Posten dann das Protokoll … Edit: Messenger Skinner lest sich nicht mehr deinstallieren, stürzt ab beim versuch es über Systemsteuerung/Software zu löschen. |
|
17.10.2007, 20:18
| #14 |
| | shfaymzhlr.exe Leider kann ich nicht mehr Editieren, also Poste ich die Scans neu. Hier noch mal die Logfile von eScan: Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL
eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with spywaresecure Corrupted Adware/Spyware (C:\WINDOWS\pack.epk)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\messengerskinner.exe//PE_Patch.UPX//UPX//EXE-file//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\175725.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\176275.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\180241.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{DC0684E7-82F7-429B-B0AA-62762159D75E}\RP103\A0008977.exe//stream//data0005//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Temp\NSIS_install_msgskinner.exe//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\pack.epk
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\livesvc !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{DC0684E7-82F7-429B-B0AA-62762159D75E}\RP54\A0003361.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 87826
Gefundene Viren: 27
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 8
Dauer des Scans bisher: 00:43:36
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Batchstart: 21:05:06,89
Batchende: 21:05:08,60
Code:
ATTFilter SmitFraudFix v2.240
Scan done at 21:05:44,82, 17.10.2007
Run from C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt FOUND !
C:\WINDOWS\system32\systems.txt FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\INr23I
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\INr23I\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\INr23I\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{68828077-3CD3-43DF-B5EC-F974F71BFEF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{68828077-3CD3-43DF-B5EC-F974F71BFEF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
|
|
18.10.2007, 01:04
| #15 |
| /// Helfer-Team | shfaymzhlr.exe Ein Tip: Vor jedem neuen Escan die mwav.log löschen, sonst hängt der die neuen Meldungen einfach nur an und es sieht immer schlimmer aus. Man kann es auch nicht von Hand aussortieren, da dieses Auswertungsskript die Einträge mit Datum und Zeit des Scans vom Anfang der Zeilen löscht. Dann setz noch mal ein aktuelles HijackThis rein. |
|
| Themen zu shfaymzhlr.exe |
| ad-aware, adobe, bho, browser, dsl, excel, explorer, google, gservice, hijack, hijackthis, internet, internet explorer, internet security, monitor, nvidia, pdf, photoshop, programme, rundll, security, software, symantec, temp, unknown file in winsock lsp, usb, windows, windows xp |
Linear-Darstellung
