Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32:Patched-FF [Trj]

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.04.2008, 11:49   #1
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Hallo,

wie ich befürchtet habe, ist mein system nicht ganz sauber gewesen, nach dem befall von http://www.trojaner-board.de/51325-w...t-ubx-trj.html

zur problematik:
mein pc war über nacht im standb. modus. heute morgen hab ich ihn dann gestartet, er ist auch einwandfrei wieder angefahren nur war das desktop eingefrohren.
die desktop verküpfungen liesen sich anklicken, nur getan hat sich nichts. die "starttaste" in der taskleiste hat überhaupt nicht reagiert wenn man mit der maus darüber gefahren ist.
weil nichts mehr ging hab ich den pc neu gestartet, wobei dann die oben genannten probleme weg waren. außer, dass ich nicht mehr ins internet konnte und auf dem router war auch das licht für "online" aus. selbst nach mehrmaligem neustarten ist es nicht mehr angegangen.

folgende maßnahmen hab ich durchgeführt.

pc im abesichtern modus gestartet(internet ging auch da nicht) avast laufen lassen. der dann gleich meldung bebracht hat, dass er vor dem booten scannen möchte da er einen virus gefunden hat.

scanbericht
Code:
ATTFilter
04/14/2008 05:49
Scan aller lokalen Laufwerke

Datei C:\Programme\Alwil Software\Avast4\DATA\moved\sens.dll.vir ist infiziert von Win32:Patched-FF [Trj], Reparieren: Fehler 42060, Reparieren: Fehler 42060, In Container verschieben: Fehler 0xC0000034 {Der Objektname wurde nicht gefunden.}, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Verschoben
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll ist infiziert von Win32:Patched-FF [Trj], Verschoben
Anzahl durchsuchter Ordner: 8284
Anzahl der geprüften Dateien: 98735
Anzahl infizierter Dateien: 2
         
ich habe versucht die dateien in den cotainer zu verschieben, leider ist das fehlgeschlagen, darauf hin hab ich sie verschieben/umbennen lassen.

danach hab ich den pc normal neu gestartet. darauf ließen sich die dateien dann in den container verschieben und ich hab sie dann gelöscht.

internet ging immer noch nicht.

also pc wieder neu gestarte, avast wieder laufen lassen, der wieder diese dateien gefunden hat. ich hab sie jetzt wieden in den cotainer verfrachtet, wo sie jetzt noch sind.

smitfraud hab ich im abgesichtern modus laufen lassen hier ist der log

Code:
ATTFilter
SmitFraudFix v2.309

Scan done at 11:48:24,98, 14.04.2008
Run from D:\virensucher\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

(ich habe die hosts weg gelassen)

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt
Problem while deleting C:\WINDOWS\system32\systems.txt
 

»»»»»»»»»»»»»»»»»»»»»»»» End
         
nach smitfraud ging das internet wieder.

wie soll ich jetzt weiter vor gehen?
wäre schön wenn sich mir einer an nimmt, der aber auch am ball bleibt, danke.

hijackthis und malwarebyets logs folgen noch.

gruß

Alt 14.04.2008, 11:57   #2
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:54, on 14.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Anti-Dialer\a2service.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
D:\virensucher\09.04hithis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8514 bytes
         
malwarebytes hat nichts gefunden.
Miniaturansicht angehängter Grafiken
Win32:Patched-FF [Trj]-virusneu2.jpg  
__________________


Alt 14.04.2008, 12:17   #3
virus
Gast
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Hi Urmel

Schön hört man wieder einmal von dir
Also dein Logfile sieht ok aus aber von PartyPoker würde ich dir abraten

Noch ne frage: "D:\virensucher\09.04hithis.exe" sollte das HijackThis sein?

Bitte deaktiviere einmal die Systemwiederherstellung und boote nochmals neu, danchach kannst du sie wieder aktivieren.
Dafür gehst du auf den Arbeitsplatz mit rechtsklick gehst nun auf Eigenschaften und dann Systemwiederherstellung und machst ein häcklein.
Nun sollte eigentlich "C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll" nicht mehr gemeldet werden

Lass diese Datei hier online scannen und poste bitte den Report: C:\Programme\Alwil Software\Avast4\DATA\moved\sens.dll

Bitte lass einmal ComboFix laufen und poste den Report
Bitte schalte für den Scan von ComboFix deinen Guard ab, da es sein kann dass er ComboFix als Malware erkennt.
__________________

Alt 14.04.2008, 12:27   #4
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



hi,
so schnell gehts wa!

Zitat:
Noch ne frage: "D:\virensucher\09.04hithis.exe" sollte das HijackThis sein?
jup!

Zitat:
Bitte deaktiviere einmal die Systemwiederherstellung und boote nochmals neu, danchach kannst du sie wieder aktivieren.
Dafür gehst du auf den Arbeitsplatz mit rechtsklick gehst nun auf Eigenschaften und dann Systemwiederherstellung und machst ein häcklein.
Nun sollte eigentlich "C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll" nicht mehr gemeldet werden
mach ich, aber diese datei ist auch im viruscontainer gebunkert (siehe anhang erster beitrag) weil sie mit einem virus befallen ist.
soll ich die dateien im container löschen oder stehen lassen?

Zitat:
von PartyPoker würde ich dir abraten
warum?

Alt 14.04.2008, 12:34   #5
virus
Gast
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



PartyPoker und PokerStars und all dieses Zeug is nicht sehr Vertrauenswürdig
Ich spreche aus Erfahrung
Hatte auch lange Zeit PokerStars und das mir ganz schön viel böses Zeug geholt...
Aber nun zu deinem Problem also die Dateien kannst du vorerst dort drin behalten....versuch doch mal sie mit KillBox (Link in meinem Anhang) zu löschen.
Und bevor du ComboFix laufen lässt CCleaner benutzen.


Alt 14.04.2008, 23:59   #6
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



hi,

Zitat:
Aber nun zu deinem Problem also die Dateien kannst du vorerst dort drin behalten....versuch doch mal sie mit KillBox (Link in meinem Anhang) zu löschen.
killbox lässt sich bei mir nicht ausführen. wenn ich es starten möchte kommt auf englisch, dass eine datei fehlt.
ich hab die dateien über avast gelöscht.

Zitat:
Lass diese Datei hier online scannen und poste bitte den Report: C:\Programme\Alwil Software\Avast4\DATA\moved\sens.dll
die datei konnte nicht gefunden werden. natürlich hab ich erst diese datei versucht online zu scannen, bevor ich sie über avast gelöscht habe.


Zitat:
Bitte deaktiviere einmal die Systemwiederherstellung und boote nochmals neu, danchach kannst du sie wieder aktivieren.
Dafür gehst du auf den Arbeitsplatz mit rechtsklick gehst nun auf Eigenschaften und dann Systemwiederherstellung und machst ein häcklein.
Nun sollte eigentlich "C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll" nicht mehr gemeldet werden
hm ich lass jetzt über nacht noch mal avast im abgesicherten modus laufen. mal schaun was er bringt.

combofix hat erst bei zweiten anlauf geklappt. beim ersten mal ist es durchgelaufen und dann hängengelieben wenn es wieder auf den desktop springt, so dass nur das hintergrundbild gezeigt wurde. musste dann denn stecker vom pc ziehen, da sich nichts mehr getan hat.

Code:
ATTFilter
ComboFix 08-04-13.3 - Andreas 2008-04-15  0:39:30.6 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1075 [GMT 2:00]
ausgeführt von:: D:\Download\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-03-14 bis 2008-04-14  ))))))))))))))))))))))))))))))
.

2008-04-14 05:39 . 2008-04-14 05:39	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-04-10 14:46 . 2005-11-30 10:55	<DIR>	d--------	C:\Dokumente und Einstellungen\Internet\Vorlagen
2008-04-10 14:46 . 2005-11-30 10:55	<DIR>	dr-------	C:\Dokumente und Einstellungen\Internet\Startmenü
2008-04-10 14:46 . 2005-12-16 05:18	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung
2008-04-10 14:46 . 2005-11-30 10:55	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen
2008-04-10 14:46 . 2008-04-10 14:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\Internet\Favoriten
2008-04-10 14:46 . 2008-04-10 15:21	<DIR>	dr-------	C:\Dokumente und Einstellungen\Internet\Eigene Dateien
2008-04-10 14:46 . 2005-12-16 05:18	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Internet\Druckumgebung
2008-04-10 14:46 . 2005-11-30 04:41	<DIR>	d--------	C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\You've Got Pictures Screensaver
2008-04-10 14:46 . 2005-12-16 05:36	<DIR>	d--------	C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Symantec
2008-04-10 14:46 . 2008-04-10 14:46	<DIR>	d--------	C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ATI
2008-04-10 14:46 . 2006-06-27 18:36	<DIR>	d--------	C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\AOL
2008-04-10 14:46 . 2008-04-10 14:46	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Internet\Anwendungsdaten
2008-04-10 14:46 . 2008-04-10 14:46	<DIR>	d--------	C:\Dokumente und Einstellungen\Internet
2008-04-09 23:34 . 2008-04-14 07:18	<DIR>	d--------	C:\Programme\TuneUp Utilities 2008
2008-04-09 23:34 . 2008-04-09 23:34	<DIR>	d--------	C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TuneUp Software
2008-04-09 23:34 . 2008-04-09 23:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-04-09 23:34 . 2008-04-09 23:34	307,968	--a------	C:\WINDOWS\system32\TuneUpDefragService.exe
2008-04-09 23:34 . 2008-02-27 13:15	28,416	--a------	C:\WINDOWS\system32\uxtuneup.dll
2008-04-09 23:29 . 2008-04-09 23:29	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-09 23:13 . 2008-03-29 19:45	1,146,232	--a------	C:\WINDOWS\system32\aswBoot.exe
2008-04-09 23:13 . 2004-01-09 10:13	380,928	--a------	C:\WINDOWS\system32\actskin4.ocx
2008-04-09 23:13 . 2008-03-29 19:23	95,608	--a------	C:\WINDOWS\system32\AvastSS.scr
2008-04-09 23:13 . 2008-03-29 19:35	94,544	--a------	C:\WINDOWS\system32\drivers\aswmon2.sys
2008-04-09 23:13 . 2008-01-17 17:34	93,264	--a------	C:\WINDOWS\system32\drivers\aswmon.sys
2008-04-09 23:13 . 2008-03-29 19:31	75,856	--a------	C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-09 23:13 . 2008-03-29 19:27	42,912	--a------	C:\WINDOWS\system32\drivers\aswTdi.sys
2008-04-09 23:13 . 2008-03-29 19:26	26,944	--a------	C:\WINDOWS\system32\drivers\aavmker4.sys
2008-04-09 23:13 . 2008-03-29 19:29	23,152	--a------	C:\WINDOWS\system32\drivers\aswRdr.sys
2008-04-09 23:13 . 2008-03-29 19:35	20,560	--a------	C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-09 23:11 . 2006-09-02 20:33	6,144	--a------	C:\WINDOWS\system32\msmmas.dll
2008-04-08 15:30 . 2008-04-08 15:30	3,968	--a------	C:\WINDOWS\system32\drivers\MS1000.sys
2008-04-05 22:50 . 2008-04-05 22:50	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-04-05 22:50 . 2008-04-05 22:50	1,409	--a------	C:\WINDOWS\QTFont.for
2008-04-05 15:53 . 2007-09-05 23:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-04-05 15:53 . 2006-04-27 16:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-04-05 15:53 . 2008-03-28 23:19	86,528	--a------	C:\WINDOWS\system32\VACFix.exe
2008-04-05 15:53 . 2008-03-26 08:50	82,432	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-04-05 15:53 . 2003-06-05 20:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-04-05 15:53 . 2004-07-31 17:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-04-05 15:53 . 2007-10-03 23:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-04-05 15:47 . 2008-04-14 11:49	3,720	--a------	C:\WINDOWS\system32\tmp.reg
2008-04-05 00:23 . 2008-04-05 00:23	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-08 20:36	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-04 15:18 . 2008-04-04 15:18	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-03-29 03:21 . 2008-03-29 03:21	<DIR>	d--------	C:\Programme\PC Inspector File Recovery
2008-03-29 03:21 . 2002-02-18 19:40	6,200	--a------	C:\WINDOWS\system32\INT13EXT.VXD

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-12 18:58	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-12 18:57	107,832	----a-w	C:\WINDOWS\system32\PnkBstrB.exe
2008-04-10 00:16	---------	d-----w	C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Skype
2008-04-08 14:57	---------	d-----w	C:\Programme\Google
2008-04-04 12:34	---------	d-----w	C:\Programme\a-squared Anti-Dialer
2008-03-29 01:21	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-29 01:06	---------	d-----w	C:\Dokumente und Einstellungen\*****\Anwendungsdaten\ATI
2008-03-28 22:12	---------	d-----w	C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2
2008-03-28 12:33	---------	d-----w	C:\Programme\Winamp
2008-03-20 08:03	1,845,376	----a-w	C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03	1,845,376	----a-w	C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-11 21:27	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-11 21:23	---------	d-----w	C:\Programme\ATI Technologies
2008-03-09 23:04	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-09 23:03	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-03-09 22:56	691,545	----a-w	C:\WINDOWS\unins000.exe
2008-03-05 07:29	---------	d-----w	C:\Programme\Java
2008-03-03 03:12	---------	d-----w	C:\Programme\Lavalys
2008-03-03 01:14	---------	d-----w	C:\Programme\Driver Cleaner Pro
2008-03-01 16:24	3,591,680	----a-w	C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54	826,368	----a-w	C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54	671,232	----a-w	C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54	478,208	----a-w	C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54	44,544	----a-w	C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54	233,472	----a-w	C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54	193,024	----a-w	C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54	105,984	----a-w	C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54	102,912	----a-w	C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54	1,159,680	----a-w	C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55	625,664	----a-w	C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54	70,656	----a-w	C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-29 00:24	---------	d-----w	C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SystemXXL
2008-02-26 05:51	2,863,616	----a-w	C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-02-26 05:51	2,863,616	----a-w	C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-02-26 03:12	372,736	----a-w	C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10	307,200	----a-w	C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10	299,520	----a-w	C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:10	299,520	----a-w	C:\WINDOWS\system32\ati2dvag(2)(2).dll
2008-02-26 03:02	172,032	----a-w	C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02	126,976	----a-w	C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01	43,520	----a-w	C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01	26,112	----a-w	C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01	126,976	----a-w	C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:01	126,976	----a-w	C:\WINDOWS\system32\ati2evxx(2)(2).dll
2008-02-26 03:00	520,192	----a-w	C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59	9,797,632	----a-w	C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58	53,248	----a-w	C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49	3,176,480	----a-w	C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:49	3,176,480	----a-w	C:\WINDOWS\system32\ati3duag(2)(2).dll
2008-02-26 02:41	1,755,264	----a-w	C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:41	1,755,264	----a-w	C:\WINDOWS\system32\ativvaxx(2)(2).dll
2008-02-26 02:29	46,080	----a-w	C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25	393,216	----a-w	C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:25	393,216	----a-w	C:\WINDOWS\system32\atikvmag(2)(2).dll
2008-02-26 02:23	17,408	----a-w	C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:22	49,152	----a-w	C:\WINDOWS\system32\drivers\ati2erec.dll
2008-02-26 02:19	167,936	----a-w	C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:19	167,936	----a-w	C:\WINDOWS\system32\atiok3x2(2)(2).dll
2008-02-26 02:16	520,192	----a-w	C:\WINDOWS\system32\ati2cqag.dll
2008-02-26 02:16	520,192	----a-w	C:\WINDOWS\system32\ati2cqag(2)(2).dll
2008-02-25 20:05	593,920	------w	C:\WINDOWS\system32\ati2sgag.exe
2008-02-22 10:00	13,824	------w	C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50	282,624	----a-w	C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50	282,624	----a-w	C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33	45,568	----a-w	C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33	45,568	----a-w	C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33	148,992	----a-w	C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44	161,792	----a-w	C:\WINDOWS\system32\dllcache\ieakui.dll
2007-09-29 22:40	22,328	----a-w	C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\PnkBstrK.sys
2006-10-07 17:50	0	----a-w	C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\wklnhst.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}]
2007-12-31 18:58	806912	--a------	C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2007-12-31 18:58 806912]

[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll [2007-12-31 18:58 806912]

[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 06:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 06:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00 397312]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 01:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-30 04:41 98304]
"AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07 114688]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304]
"a-squared"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
--a------ 2007-12-04 06:57 2494464 C:\Programme\Electronic Arts\EADM\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-09-21 13:48 425984 C:\Programme\Acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2005-11-30 04:40 26112 C:\Programme\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 16:00 25388584 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142 Server\\BF2142VoipServer_w32ded.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 08:00]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2008-04-03 22:56]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-11-11 12:29]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 06:00]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-09 23:34]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-14 22:33:31 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 00:41:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-15  0:41:27
ComboFix-quarantined-files.txt  2008-04-14 22:41:25

              22 Verzeichnis(se), 70,432,256,000 Bytes frei
              24 Verzeichnis(se), 70,430,130,176 Bytes frei
.
2008-04-09 18:30:28	--- E O F ---
         

Alt 15.04.2008, 08:04   #7
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



moin,

ich hab nochmal folgende programme über den pc geschickt.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 629

Scan Art: Komplett Scan (C:\|D:\|G:\|H:\|I:\|J:\|)
Objekte gescannt: 140186
Scan Dauer: 1 hour(s), 32 minute(s), 21 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
         

avast war sauber.




Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.4.4 
Sprache: German 
Virus-Datenbank Datum: 4/14/2008  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File D:\virensucher\Download_mbam-setup.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.fs". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File D:\virensucher\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File D:\virensucher\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: d:\Dokumente und Einstellungen\Andreas\Eigene Dateien\battlefield 2\logocache\www.darkclan.co.uk\nip 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKCU\Software\kazaa !!! 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Executable Command Found in E\Shell\AutoRun\command: E:\Autorun.exe 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 D:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Eigene Bilder\msmmas.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 D:\wichtige programme\cpu-z-144.1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 154682 
 Gefundene Viren: 10 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 16 
 Dauer des Scans bisher: 02:49:41 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart:  5:46:07,87 
Batchende:  5:46:26,03
         
ich weis, escan ist für seine fehlvirusmeldungen bekannt, aber bitte sag mir doch was ich mit den "rot markierten einträgen" anstellen soll.

Kazaa, gator.com und net-nucleus.com habe ich schonmal in der registry gelöscht, und jetzt sind sie wieder da.

gruß

Alt 15.04.2008, 20:14   #8
virus
Gast
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Hi

Folgende Datein bitte online scannen:

C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\msmmas.dll
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\dllcache\iexplore.exe


Die von escan gefundenen löschen ausser den 2ten roten Block mit Smitfraudfix drin.

Alt 16.04.2008, 00:18   #9
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



so alles gelöscht und nun folgen die auswertungen



C:\WINDOWS\system32\aswBoot.exe
Code:
ATTFilter
 Datei aswBoot.exe empfangen 2008.04.16 00:38:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.4.15.1	2008.04.15	       -
AntiVir	7.6.0.85	2008.04.15	                    -
Authentium	4.93.8	2008.04.16	                   -
Avast	4.8.1169.0	2008.04.15	                   -
AVG	7.5.0.516	2008.04.15	                     -
BitDefender	7.2	2008.04.15	                    -
CAT-QuickHeal	9.50	2008.04.14	                  -
ClamAV	0.92.1	2008.04.16	                           -
DrWeb	4.44.0.09170	2008.04.15	                  -
eSafe	7.0.15.0	2008.04.09	                    -
eTrust-Vet	31.3.5702	2008.04.16	           -
Ewido	4.0	2008.04.15	                               -
F-Prot	4.4.2.54	2008.04.15	                      -
F-Secure	6.70.13260.0	2008.04.16	          -
FileAdvisor	1	2008.04.16	-
Fortinet	3.14.0.0	2008.04.15	-
Ikarus	T3.1.1.26	2008.04.15	-
Kaspersky	7.0.0.125	2008.04.16	-
McAfee	5274	2008.04.15	-
Microsoft	1.3408	2008.04.14	-
NOD32v2	3029	2008.04.15	-
Norman	5.80.02	2008.04.15	-
Panda	9.0.0.4	2008.04.16	-
Prevx1	V2	2008.04.16	-
Rising	20.40.11.00	2008.04.15	-
Sophos	4.28.0	2008.04.15	-
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.16	-
TheHacker	6.2.92.278	2008.04.15	                  -
VBA32	3.12.6.4	2008.04.14	                             -
VirusBuster	4.3.26:9	2008.04.15	                   -
Webwasher-Gateway	6.6.2	2008.04.15	            -
weitere Informationen
File size: 1146232 bytes
MD5...: 4108ed9980f581f502c1d72c0d7f77da
SHA1..: b4894fa11ebddb41ab5c61f5aba731a07fa17efe
SHA256: 768fafa656e91c7c6896f37f9a4470f4a9ea55291f886d6e2c8ae958f6894aab
SHA512: b3f0295c4a9f12c7d7800e74990ce50cf2903873fece68c1c50fbd1dccbc6e44
4e3f393a4e25bb6262d7d2aa9b0843141963dcecc1efafc86fd15950182d6d14
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1034420
timedatestamp.....: 0x47ed9274 (Sat Mar 29 00:51:00 2008)
machinetype.......: 0x14c (I386)
         


C:\WINDOWS\system32\Process.exe
Code:
ATTFilter
 Datei Process.exe empfangen 2008.04.16 00:38:19 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.4.15.1	2008.04.15	 Win-AppCare/PrcViewer.53248
AntiVir	7.6.0.85	2008.04.15	-
Authentium	4.93.8	2008.04.16	-
Avast	4.8.1169.0	2008.04.15	-
AVG	7.5.0.516	2008.04.15	-
BitDefender	7.2	2008.04.15	-
CAT-QuickHeal	9.50	2008.04.14	-
ClamAV	0.92.1	2008.04.16	-
DrWeb	4.44.0.09170	2008.04.15	                      Tool.Prockill
eSafe	7.0.15.0	2008.04.09	-
eTrust-Vet	31.3.5702	2008.04.16	-
Ewido	4.0	2008.04.15	-
F-Prot	4.4.2.54	2008.04.15	-
F-Secure	6.70.13260.0	2008.04.16	-
FileAdvisor	1	2008.04.16	-
Fortinet	3.14.0.0	2008.04.15	           Misc/PrcViewer
Ikarus	T3.1.1.26	2008.04.15	-
Kaspersky	7.0.0.125	2008.04.16	-
McAfee	5274	2008.04.15   potentially unwanted program PrcViewer
Microsoft	1.3408	2008.04.14	-
NOD32v2	3029	2008.04.15	                               Win32/PrcView
Norman	5.80.02	2008.04.15	-
Panda	9.0.0.4	2008.04.16	              Application/Processor
Prevx1	V2	2008.04.16	-
Rising	20.40.11.00	2008.04.15	-
Sophos	4.28.0	2008.04.15	-
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.16	-
TheHacker	6.2.92.278	2008.04.15  Aplicacion/Processor.20
VBA32	3.12.6.4	2008.04.14	-
VirusBuster	4.3.26:9	2008.04.15	-
Webwasher-Gateway	6.6.2	2008.04.15	-
weitere Informationen
File size: 53248 bytes
MD5...: 7397f6ee4a9601a123b645c0cd428017
SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0
SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de
SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc
20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402b42
timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)
machinetype.......: 0x14c (I386)
         

C:\WINDOWS\system32\dumphive.exe
Code:
ATTFilter
 Datei dumphive.exe empfangen 2008.04.16 00:39:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.4.15.1	2008.04.15	-
AntiVir	7.6.0.85	2008.04.15	-
Authentium	4.93.8	2008.04.16	-
Avast	4.8.1169.0	2008.04.15	-
AVG	7.5.0.516	2008.04.15	-
BitDefender	7.2	2008.04.15	-
CAT-QuickHeal	9.50	2008.04.14	-
ClamAV	0.92.1	2008.04.16	-
DrWeb	4.44.0.09170	2008.04.15	-
eSafe	7.0.15.0	2008.04.09	-
eTrust-Vet	31.3.5702	2008.04.16	-
Ewido	4.0	2008.04.15	-
F-Prot	4.4.2.54	2008.04.15	-
F-Secure	6.70.13260.0	2008.04.16	-
FileAdvisor	1	2008.04.16	-
Fortinet	3.14.0.0	2008.04.15	-
Ikarus	T3.1.1.26	2008.04.15	-
Kaspersky	7.0.0.125	2008.04.16	-
McAfee	5274	2008.04.15	-
Microsoft	1.3408	2008.04.14	-
NOD32v2	3029	2008.04.15	-
Norman	5.80.02	2008.04.15	-
Panda	9.0.0.4	2008.04.16	-
Prevx1	V2	2008.04.16	-
Rising	20.40.11.00	2008.04.15	-
Sophos	4.28.0	2008.04.15	-
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.16	-
TheHacker	6.2.92.278	2008.04.15	-
VBA32	3.12.6.4	2008.04.14	-
VirusBuster	4.3.26:9	2008.04.15	-
Webwasher-Gateway	6.6.2	2008.04.15	-
weitere Informationen
File size: 51200 bytes
MD5...: 21868b2d22c726d94d98f15825d4134b
SHA1..: b8ecd21f17fdd3845e0eb3c52496a1353a856523
SHA256: 4a0202e069e3c1029ecb1f72639a7e35ccca28e1a81a7ca08d5f9206b4dc9363
SHA512: a9de3cab356ed8db4ebd2e85dcc750cd5407bc2ba71485ebf0caca030997a73e
60b0006922d1e1cec434ca41e2b4dfcf98a0703098eaa5182f1b68860601a460
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40b950
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
         

C:\WINDOWS\system32\WS2Fix.exe
Code:
ATTFilter
 Datei WS2Fix.exe empfangen 2008.04.16 00:41:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.4.15.1	2008.04.15	-
AntiVir	7.6.0.85	2008.04.15	-
Authentium	4.93.8	2008.04.16	-
Avast	4.8.1169.0	2008.04.15	-
AVG	7.5.0.516	2008.04.15	-
BitDefender	7.2	2008.04.15	-
CAT-QuickHeal	9.50	2008.04.14	-
ClamAV	0.92.1	2008.04.16	-
DrWeb	4.44.0.09170	2008.04.15	-
eSafe	7.0.15.0	2008.04.09	         suspicious Trojan/Worm
eTrust-Vet	31.3.5702	2008.04.16	-
Ewido	4.0	2008.04.15	-
F-Prot	4.4.2.54	2008.04.15	-
F-Secure	6.70.13260.0	2008.04.16	-
FileAdvisor	1	2008.04.16	-
Fortinet	3.14.0.0	2008.04.15	-
Ikarus	T3.1.1.26	2008.04.15	-
Kaspersky	7.0.0.125	2008.04.16	-
McAfee	5274	2008.04.15	-
Microsoft	1.3408	2008.04.14	-
NOD32v2	3029	2008.04.15	-
Norman	5.80.02	2008.04.15	-
Panda	9.0.0.4	2008.04.16	-
Prevx1	V2	2008.04.16	-
Rising	20.40.11.00	2008.04.15	-
Sophos	4.28.0	2008.04.15	-
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.16	-
TheHacker	6.2.92.278	2008.04.15	-
VBA32	3.12.6.4	2008.04.14	-
VirusBuster	4.3.26:9	2008.04.15	-
Webwasher-Gateway	6.6.2	2008.04.15	-
weitere Informationen
File size: 25600 bytes
MD5...: 49b5595b1824bea6d850e0ed08b53e43
SHA1..: 5e2b90a2e34bb130b76517890877cb273f5f37b2
SHA256: 8d38a9bf06dbfa27be241d8d342e6d4116a5b70ac79fc67623616485967a0a02
SHA512: bfa8156a8a2c19c885412a92958102fc03cc3a7a20a56fb6baa41c7697825830
1848dc10af611caec1272970df4f7c853d18f9cd665dc041150a62427c9e15db
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x411a90
timedatestamp.....: 0x4704197e (Wed Oct 03 22:36:46 2007)
machinetype.......: 0x14c (I386)
         

C:\WINDOWS\system32\dllcache\iexplore.exe
Code:
ATTFilter
 Datei iexplore.exe empfangen 2008.04.16 00:54:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.4.15.1	2008.04.15	-
AntiVir	7.6.0.85	2008.04.15	-
Authentium	4.93.8	2008.04.16	-
Avast	4.8.1169.0	2008.04.15	-
AVG	7.5.0.516	2008.04.15	-
BitDefender	7.2	2008.04.15	-
CAT-QuickHeal	9.50	2008.04.14	-
ClamAV	0.92.1	2008.04.16	-
DrWeb	4.44.0.09170	2008.04.15	-
eSafe	7.0.15.0	2008.04.09	-
eTrust-Vet	31.3.5702	2008.04.16	-
Ewido	4.0	2008.04.15	-
F-Prot	4.4.2.54	2008.04.15	-
F-Secure	6.70.13260.0	2008.04.16	-
FileAdvisor	1	2008.04.16	-
Fortinet	3.14.0.0	2008.04.15	-
Ikarus	T3.1.1.26	2008.04.15	-
Kaspersky	7.0.0.125	2008.04.16	-
McAfee	5274	2008.04.15	-
Microsoft	1.3408	2008.04.14	-
NOD32v2	3029	2008.04.15	-
Norman	5.80.02	2008.04.15	-
Panda	9.0.0.4	2008.04.16	-
Prevx1	V2	2008.04.16	-
Rising	20.40.11.00	2008.04.15	-
Sophos	4.28.0	2008.04.15	-
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.16	-
TheHacker	6.2.92.278	2008.04.15	-
VBA32	3.12.6.4	2008.04.14	-
VirusBuster	4.3.26:9	2008.04.15	-
Webwasher-Gateway	6.6.2	2008.04.15	-
weitere Informationen
File size: 625664 bytes
MD5...: 2d0e5592ab5a46c27daf7ccaff4f5b59
SHA1..: 0295a76d62f9bfe208fcea3655b12dfa60682d6a
SHA256: 728fb2f407ce3d5e96ff56e69f94b361e4ea6e9cd650768e738d0ad73bafa91c
SHA512: d1a0a4c93dbd98aebefedfb2e7bc9fa68133fdffd6378887e7a9d06cf8d98a51
cae6ec608c8f4f218e3685b8dd60d891bdbe8fdd424f38dcc75b9d5220be16ec
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402e45
timedatestamp.....: 0x47b3b968 (Thu Feb 14 03:45:44 2008)
machinetype.......: 0x14c (I386)
         

ich habe dies datei bewusst zum schluss gescannt, da wir sie im anderen thread siehe link(http://www.trojaner-board.de/51325-w...tml#post332540) auch scannen haben lassen, mit der gleichen meldung. ich habe die datei gepackt und zu avast geschickt um sie prüfen zu lassen mit dem ergebniss siehe link(http://www.trojaner-board.de/51325-w...tml#post332761)
C:\WINDOWS\system32\msmmas.dll
Code:
ATTFilter
 Datei msmmas.dll empfangen 2008.04.16 00:59:09 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/32 (6.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.4.15.1	2008.04.15	-
AntiVir	7.6.0.85	2008.04.15	-
Authentium	4.93.8	2008.04.16	-
Avast	4.8.1169.0	2008.04.15	-
AVG	7.5.0.516	2008.04.15	-
BitDefender	7.2	2008.04.15	-
CAT-QuickHeal	9.50	2008.04.14	-
ClamAV	0.92.1	2008.04.16	-
DrWeb	4.44.0.09170	2008.04.15	-
eSafe	7.0.15.0	2008.04.09	-
eTrust-Vet	31.3.5702	2008.04.16	-
Ewido	4.0	2008.04.15	-
F-Prot	4.4.2.54	2008.04.15	-
F-Secure	6.70.13260.0	2008.04.16	-
FileAdvisor	1	2008.04.16	-
Fortinet	3.14.0.0	2008.04.15	-
Ikarus	T3.1.1.26	2008.04.15	-
Kaspersky	7.0.0.125	2008.04.16	-
McAfee	5274	2008.04.15	-
Microsoft	1.3408	2008.04.14	-
NOD32v2	3029	2008.04.15	-
Norman	5.80.02	2008.04.15	-
Panda	9.0.0.4	2008.04.16	-
Prevx1	V2	2008.04.16	-
Rising	20.40.11.00	2008.04.15	-
Sophos	4.28.0	2008.04.15	- 
Sunbelt	3.0.1041.0	2008.04.12                       VIPRE.Suspicious
Symantec	10	2008.04.16	-
TheHacker	6.2.92.278	2008.04.15	-
VBA32	3.12.6.4	2008.04.14	-
VirusBuster	4.3.26:9	2008.04.15	-
Webwasher-Gateway	6.6.2	2008.04.15	 Win32.Malware.dam (suspicious)
weitere Informationen
File size: 6144 bytes
MD5...: 850ba7cda87e4f5a52364427e0e1303a
SHA1..: fbbb50adc57855559440c4db62e15944da2b8207
SHA256: 58adbb849a320a43ebb30136e18dfd40b5d0788228fb0d6b9083645264b495ba
SHA512: af94a465a99b9ef96a21cb636fde6fe4129df730aa6561ab73f6cd0028cfb707
f33e39150ac49645512a865f75dc116a5bdfcb5ae5dd9909a845ad1665c27d39
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x77af3399
timedatestamp.....: 0x411096af (Wed Aug 04 07:56:31 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
         

Alt 16.04.2008, 00:31   #10
BataAlexander
> MalwareDB
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Zitat:
so alles gelöscht und nun folgen die auswertungen
Gorillas im Nebel sag ich da nur. Was willst Du denn noch alles löschen?
Oder besser: Was suchst Du?

Alt 16.04.2008, 00:44   #11
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



öhm ich weis nicht was für ein problem du hast, aber wenn du weiter oben nachliest siehst du was ich gelöscht habe, bzw. da steht meine frage was ich alles löschen darf.

Alt 16.04.2008, 10:32   #12
BataAlexander
> MalwareDB
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Ein Avast Scan hat eine Datei gefunden, diese wurde gelöscht, auch in der Systemwiederherstellung.
Dann kommen
- Smitfraudfix, nichts gefunden
- HJT, nichts auffälliges
- Malwarebytes, nichts auffälliges
- Combofix, nichts gefunden
- Malwarebytes noch mal, nichts auffälliges
- Escan, reden wir nicht drüber, nichts auffälliges

So, sag mir doch mal, was Ihr sucht?
Ich kann Dir noch eine Reihe von Tools nennen, die weiß der Teufel losscannen und Dir Reporte generienen.
Aber bis auf Fehlalarme, was Deine sens.dll wohl auch ist, wird wohl nichts bei rumkommen.

Bata

Alt 16.04.2008, 11:20   #13
Urmel
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Zitat:
So, sag mir doch mal, was Ihr sucht?
Ich kann Dir noch eine Reihe von Tools nennen, die weiß der Teufel losscannen und Dir Reporte generienen.
Aber bis auf Fehlalarme, was Deine sens.dll wohl auch ist, wird wohl nichts bei rumkommen.
also manchmal bin ich mir nicht so ganz sicher, ob euch eure hobby hier spass macht, wenn ihr die leute immer so blöd von der seite an macht. es sind halt nicht alle leute profis.

mich würde interessieren ob mein system wieder sauber/sicher ist?

und da sind wir dabei das raus zu finden.

Alt 16.04.2008, 11:41   #14
BataAlexander
> MalwareDB
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Wohl dem, der eingestreute Ironie versteht, liebster Argan.
Zitat:
mich würde interessieren ob mein system wieder sauber/sicher ist?
Lies mein letztes Post, dann kannst Du Dir die Frage selber beantworten.

Viel Spaß im Netz.

Bata

Alt 16.04.2008, 11:50   #15
virus
Gast
 
Win32:Patched-FF [Trj] - Standard

Win32:Patched-FF [Trj]



Hi

Was meint denn der OberGuru zu diesen Dateien?:

C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\msmmas.dll


Anstatt überall deinen Komentar abzugeben was alles falsch gemacht wird und wie dämlich alle anderen sind im Vergleich zu dir, würdest du dich besser einmal um deine Sachen kümmern...
Ps. bis jetzt konnte ich dort wo ich gepostet habe helfen (auch ohne dich)

Antwort

Themen zu Win32:Patched-FF [Trj]
0xc0000034, analysis, attention, avast, booten, desktop, fehler, fraud, generic, infected, infiziert, internet, malware, maus, maßnahme, microsoft, moved, neu, ordner, pc normal, programme, registry, router, scan, software, system, system volume information, taskleiste, temp, virus, virus gefunden, windows, windows xp




Ähnliche Themen: Win32:Patched-FF [Trj]


  1. Wer kennt diesen Virus: win32:patched-WQ
    Plagegeister aller Art und deren Bekämpfung - 21.01.2013 (2)
  2. Trojan.Win32.Patched!E2
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (13)
  3. Datei C:\Windows\System32\services.exe infiziert: W32/Patched.UB, Patched.UA, Patched.ZA
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (5)
  4. Win32:Patched- TM [Trj] in c:\windows\explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 04.01.2011 (5)
  5. Win32/PATCHED.DO in C:\WINDOWS\system32\drivers\ftdisk.sys
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (1)
  6. Trojan.Win32.Patched.aa!A2 in explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (6)
  7. WIN32:patched-KA gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (4)
  8. Trojaner.Win32.Patched
    Log-Analyse und Auswertung - 10.04.2009 (1)
  9. Trojan.Win32.Patched.m!!!!
    Plagegeister aller Art und deren Bekämpfung - 09.04.2009 (7)
  10. Trojan.Win32.Patched.m - Meldungen
    Plagegeister aller Art und deren Bekämpfung - 23.12.2008 (4)
  11. Trojan.Win32.Patched.m(ID = 0x4d69a) loswerden???
    Mülltonne - 15.11.2008 (2)
  12. Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!?
    Plagegeister aller Art und deren Bekämpfung - 10.11.2008 (7)
  13. trojan.win32.patched.dn bei GData
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (3)
  14. Trojan.Win32.Patched.dn
    Plagegeister aller Art und deren Bekämpfung - 04.11.2008 (1)
  15. trojan.win32.patched.dn
    Plagegeister aller Art und deren Bekämpfung - 04.11.2008 (1)
  16. Trojan.Win32.patched.dn
    Mülltonne - 04.11.2008 (1)
  17. Trojan.Win32.Patched.dn in User32.dll
    Mülltonne - 04.11.2008 (2)

Zum Thema Win32:Patched-FF [Trj] - Hallo, wie ich befürchtet habe, ist mein system nicht ganz sauber gewesen, nach dem befall von http://www.trojaner-board.de/51325-w...t-ubx-trj.html zur problematik: mein pc war über nacht im standb. modus. heute morgen hab - Win32:Patched-FF [Trj]...
Archiv
Du betrachtest: Win32:Patched-FF [Trj] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.