| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivirus Xp 2008 - LogfilesWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.08.2008, 11:20
| #1 |
| |  Antivirus Xp 2008 - Logfiles Guten Morgen, gestern habe ich festestellen müssen, dass ich mir diesen Antivirus Xp 2008 eingefangen habe  Habe erstmal Malewarebytes durchlaufen lassen und dachte damit sei die Sache erledigt. Leider stellte ich heute morgen fest, dass bei meinen beiden E-Mail Adressen alle Mail gelöscht wurde. Habe mir dann ein HijackThis Log Online auswerten lassen und alles gefixt, was HijackThis irgendwie als schädlich erkannte. Dann habe ich alle Passwörter geändert und mache nun einen Online Scan mit Kaspersky. Trozdem möchte ich nochmal die Log's von HijackThis und Malwarebytes posten und darum bitten, dass sie sich jemand ansieht, damit nicht doch noch irgendwas übrig bleibt. Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1065 Windows 5.1.2600 Service Pack 2 13:55:59 18.08.2008 mbam-log-08-18-2008 (13-55-59).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 144538 Laufzeit: 1 hour(s), 5 minute(s), 13 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 8 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 57 Infizierte Speicherprozesse: C:\WINDOWS\system32\lphcrfdj0er4a.exe (Trojan.FakeAlert) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcrfdj0er4a (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc88.avi (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc89.avi (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc91.avi (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc92.avi (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HZQOSR6\winvsnet[1].exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP67\A0008717.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP67\A0008756.dll (Adware.ClickSpring) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP68\A0009664.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully. C:\WINDOWS\Rmlubg\asappsrv.dll (Adware.CommAd) -> Quarantined and deleted successfully. E:\HDD2\Unknown\Dc89\Unbekannt\Dc88.avi (Trojan.Dropper) -> Quarantined and deleted successfully. E:\HDD2\Unknown\Dc89\Unbekannt\Dc89.avi (Trojan.Dropper) -> Quarantined and deleted successfully. E:\HDD2\Unknown\Dc89\Unbekannt\Dc91.avi (Trojan.Dropper) -> Quarantined and deleted successfully. E:\HDD2\Unknown\Dc89\Unbekannt\Dc92.avi (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\explore.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\svchost32.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\internet.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\cpan.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\ctfmon32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\ctrlpan.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\directx32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\dnsrelay.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\editpad.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\Explorer32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\funniest.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\funny.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\gfmnaaa.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\helpcvs.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\inetinf.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\msconfd.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\msspi.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\mswsc10.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\mswsc20.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\qttasks.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\quicken.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\rundll32.vbe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\searchword.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\sistem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\svcinit.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\time.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\win32e.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lphcrfdj0er4a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phcrfdj0er4a.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\wavvsnet.exe (Trojan.Agent) -> Quarantined and deleted successfully. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:49:27, on 19.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\MMKeybd.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ICQ 6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Office Keyboard] C:\WINDOWS\MMKeybd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ 6\ICQ.exe" silent O4 - HKCU\..\Run: [Hoae] "C:\PROGRA~1\STEM32~1\notepad.exe" -vt yazb O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207505133125 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207505127000 O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BB7D7259-D46D-4F82-B6F9-AA6918251A0D}: NameServer = 192.168.178.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing) O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6015 bytes Wäre wirklich prima wenn mir jemand helfen könnte  |
|
19.08.2008, 12:43
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Antivirus Xp 2008 - Logfiles Hallo und
__________________ Zitat:
Code:
ATTFilter O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing)
Mach einen Durchlauf mit Combofix, wenn das durch ist auch ein neues mit HijackThis und poste beide: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ |
|
19.08.2008, 12:51
| #3 |
| | Antivirus Xp 2008 - Logfiles Die Email's wurden vom Server gelöscht, ein Mailprogramm hab ich nicht.
__________________O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing) Hab ist gefixt Combofix werd ich sofort nach dem Kaspersky scan ausführen, den will ich nicht abbrechen weil der grad bei 89% ist Vielen dank für die Hilfe! Edit: So hier der Log von Combofix ComboFix 08-08-18.04 - Finn 2008-08-19 14:11:11.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1626 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Finn\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Finn\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET\s?oolsv.exe C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RM33EP5L\interclick.com C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RM33EP5L\interclick.com\ud.sol C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol C:\Dokumente und Einstellungen\Finn\UserData C:\Dokumente und Einstellungen\Finn\UserData\7IHO4VQJ\oWindowsUpdate[1].xml C:\Dokumente und Einstellungen\Finn\UserData\index.dat C:\Dokumente und Einstellungen\Finn\UserData\SAICLH84\oWindowsUpdate[1].xml C:\Dokumente und Einstellungen\Finn\UserData\ZN4AAQ36\oWindowsUpdate[1].xml C:\Programme\stem32~1 C:\Programme\stem32~1\??stem32\ C:\Temp\1cb C:\Temp\1cb\syscheck.log C:\WINDOWS\system32\hljwugsf.bin C:\WINDOWS\system32\jfrfdnig.ini C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\WxxGNnnn.ini C:\WINDOWS\system32\WxxGNnnn.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 )))))))))))))))))))))))))))))) . 2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-08-19 11:46 . 2008-08-19 11:46 <DIR> d-------- C:\Programme\Trend Micro 2008-08-18 14:12 . 2008-08-18 14:12 <DIR> d-------- C:\Programme\Sun 2008-08-18 12:31 . 2008-08-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Malwarebytes 2008-08-18 11:53 . 2008-08-18 12:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-18 11:53 . 2008-08-18 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-18 11:53 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-18 11:53 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Thunderbird 2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Talkback 2008-08-11 11:52 . 2008-08-15 20:38 <DIR> d-------- C:\Programme\Winamp Remote 2008-08-10 23:59 . 2008-04-05 12:48 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Vorlagen 2008-08-10 23:59 . 2008-04-05 13:44 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Startmen 2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Netzwerkumgebung 2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Lokale Einstellungen 2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Favoriten 2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Eigene Dateien 2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Druckumgebung 2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2\Anwendungsdaten\Windows Desktop Search 2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\D2\Anwendungsdaten 2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2 2008-08-10 23:26 . 2008-08-19 00:35 <DIR> d-------- C:\Programme\Diablo II 2008-08-02 21:25 . 2008-08-02 21:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-07-27 09:39 . 2008-07-27 09:39 268 --ah----- C:\sqmdata00.sqm 2008-07-27 09:39 . 2008-07-27 09:39 244 --ah----- C:\sqmnoopt00.sqm 2008-07-26 12:35 . 2008-07-26 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Windows Search 2008-07-26 11:56 . 2008-07-26 11:56 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy 2008-07-26 11:56 . 2008-08-18 13:07 <DIR> d-------- C:\Programme\Windows Desktop Search 2008-07-26 11:56 . 2008-03-07 18:56 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll 2008-07-26 11:56 . 2008-03-07 18:56 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll 2008-07-26 10:48 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-07-26 10:45 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-07-26 10:45 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-07-23 23:53 . 2008-08-17 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Hamachi 2008-07-23 23:52 . 2008-07-23 23:53 <DIR> d-------- C:\Programme\Hamachi 2008-07-23 23:52 . 2008-08-16 00:03 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys 2008-07-21 20:36 . 2008-08-18 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-07-21 20:35 . 2008-07-26 18:48 <DIR> d-------- C:\Programme\Security Task Manager . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-19 12:18 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Skype 2008-08-19 09:38 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\skypePM 2008-08-18 22:34 --------- d-----w C:\Programme\Warcraft III 2008-08-18 14:48 --------- d-----w C:\Programme\ICQLite 2008-08-18 14:17 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Apple Computer 2008-08-18 12:12 --------- d-----w C:\Programme\Java 2008-08-18 11:06 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-17 23:05 --------- d-----w C:\Programme\Diablo II Spiel 1 2008-08-11 09:54 --------- d-----w C:\Programme\Winamp 2008-08-11 09:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Winamp 2008-08-10 21:36 2,829 ----a-w C:\WINDOWS\DIIUnin.pif 2008-08-10 21:36 102,400 ----a-w C:\WINDOWS\DIIUnin.exe 2008-08-02 19:09 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\AdobeUM 2008-07-26 22:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\ICQ 2008-07-26 09:55 --------- d-----w C:\Programme\Microsoft Silverlight 2008-07-21 18:41 --------- d-----w C:\Programme\DNA 2008-07-21 18:36 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\DNA 2008-07-21 18:25 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-07-21 18:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-20 19:58 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\teamspeak2 2008-07-20 14:42 --------- d-----w C:\Programme\ICQ6 2008-07-16 19:49 --------- d-----w C:\Programme\iTunes 2008-07-16 19:48 --------- d-----w C:\Programme\iPod 2008-07-16 19:45 --------- d-----w C:\Programme\QuickTime 2008-07-16 19:36 --------- d-----w C:\Programme\Safari 2008-07-03 17:28 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-03 16:13 --------- d-----w C:\Programme\Avira 2008-07-03 16:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-07-03 14:45 --------- d-----w C:\Programme\Enigma Software Group 2008-07-03 14:16 --------- d-----w C:\Programme\SpyZooka 2008-07-03 13:16 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-07-03 13:16 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-06-24 19:44 --------- d-----w C:\Programme\Guitar Pro 5 2008-06-24 19:43 --------- d-----w C:\Programme\Valve 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-04-05 21:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2005-07-29 14:24 472 --sha-r C:\WINDOWS\Rmlubg\lA5Rv0.vbs . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024] "ICQ"="C:\Programme\ICQ 6\ICQ.exe" [2008-04-01 12:40 172280] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920] "Office Keyboard"="C:\WINDOWS\MMKeybd.exe" [2004-11-03 12:32 425984] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 19:44 266497] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-10 10:51 289064] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\ICQ 6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Warcraft III\\Warcraft III.exe"= "C:\\Programme\\Valve\\hl.exe"= "C:\\Programme\\Warcraft III\\War3.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "6112:TCP"= 6112:TCP:6112 "6113:TCP"= 6113:TCP:6113 "6114:TCP"= 6114:TCP:6114 "6115:TCP"= 6115:TCP:6115 "6116:TCP"= 6116:TCP:6116 "6117:TCP"= 6117:TCP:6117 "6118:TCP"= 6118:TCP:6118 "6119:TCP"= 6119:TCP:6119 "6112:UDP"= 6112:UDP:6112 "6113:UDP"= 6113:UDP:6113 "6114:UDP"= 6114:UDP:6114 "6115:UDP"= 6115:UDP:6115 "6116:UDP"= 6116:UDP:6116 "6117:UDP"= 6117:UDP:6117 "6118:UDP"= 6118:UDP:6118 "6119:UDP"= 6119:UDP:6119 S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05] . Inhalt des "geplante Tasks" Ordners 2008-07-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKCU-Run-Hoae - C:\PROGRA~1\STEM32~1\notepad.exe HKCU-Run-MsnMsgr - C:\Programme\Windows Live\Messenger\MsnMsgr.Exe . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Mozilla\Firefox\Profiles\97dizcy0.default\ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-19 14:18:01 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-19 14:22:09 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-19 12:22:06 Pre-Run: 13 Verzeichnis(se), 125,489,385,472 Bytes frei Post-Run: 17 Verzeichnis(se), 125,681,229,824 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 212 Geändert von Finn (19.08.2008 um 13:26 Uhr) |
|
19.08.2008, 14:35
| #4 |
| | Antivirus Xp 2008 - Logfiles Ups erstmal Sorry für den Doppelpost.. einfach erstmal denken vorm post  Hier ComboFix: Code:
ATTFilter ComboFix 08-08-18.04 - Finn 2008-08-19 14:11:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1626 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Finn\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Finn\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET\s? oolsv.exe
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\#SharedObjects\RM33EP5L\interclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\#SharedObjects\RM33EP5L\interclick.com\ud.s ol
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\macromedia.com\support\flashplayer\sys\#int erclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\macromedia.com\support\flashplayer\sys\#int erclick.com\settings.sol
C:\Dokumente und Einstellungen\Finn\UserData
C:\Dokumente und Einstellungen\Finn\UserData\7IHO4VQJ\oWindowsUpdat e[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\index.dat
C:\Dokumente und Einstellungen\Finn\UserData\SAICLH84\oWindowsUpdat e[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\ZN4AAQ36\oWindowsUpdat e[1].xml
C:\Programme\stem32~1
C:\Programme\stem32~1\??stem32\
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\system32\hljwugsf.bin
C:\WINDOWS\system32\jfrfdnig.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\WxxGNnnn.ini
C:\WINDOWS\system32\WxxGNnnn.ini2
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.
2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-19 11:46 . 2008-08-19 11:46 <DIR> d-------- C:\Programme\Trend Micro
2008-08-18 14:12 . 2008-08-18 14:12 <DIR> d-------- C:\Programme\Sun
2008-08-18 12:31 . 2008-08-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-18 12:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-18 11:53 . 2008-08-18 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 11:53 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Thunderbird
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Talkback
2008-08-11 11:52 . 2008-08-15 20:38 <DIR> d-------- C:\Programme\Winamp Remote
2008-08-10 23:59 . 2008-04-05 12:48 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Vorlagen
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Startmen
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Netzwerkumgebung
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Lokale Einstellungen
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Favoriten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Eigene Dateien
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Druckumgebung
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2\Anwendungsdaten\Windows Desktop Search
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\D2\Anwendungsdaten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2
2008-08-10 23:26 . 2008-08-19 00:35 <DIR> d-------- C:\Programme\Diablo II
2008-08-02 21:25 . 2008-08-02 21:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-27 09:39 . 2008-07-27 09:39 268 --ah----- C:\sqmdata00.sqm
2008-07-27 09:39 . 2008-07-27 09:39 244 --ah----- C:\sqmnoopt00.sqm
2008-07-26 12:35 . 2008-07-26 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Windows Search
2008-07-26 11:56 . 2008-07-26 11:56 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-26 11:56 . 2008-08-18 13:07 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-26 11:56 . 2008-03-07 18:56 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-26 11:56 . 2008-03-07 18:56 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-26 10:48 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-26 10:45 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-07-26 10:45 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-07-23 23:53 . 2008-08-17 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Hamachi
2008-07-23 23:52 . 2008-07-23 23:53 <DIR> d-------- C:\Programme\Hamachi
2008-07-23 23:52 . 2008-08-16 00:03 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-21 20:36 . 2008-08-18 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-21 20:35 . 2008-07-26 18:48 <DIR> d-------- C:\Programme\Security Task Manager
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-08-19 12:18 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Skype
2008-08-19 09:38 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\skypePM
2008-08-18 22:34 --------- d-----w C:\Programme\Warcraft III
2008-08-18 14:48 --------- d-----w C:\Programme\ICQLite
2008-08-18 14:17 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Apple Computer
2008-08-18 12:12 --------- d-----w C:\Programme\Java
2008-08-18 11:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 23:05 --------- d-----w C:\Programme\Diablo II Spiel 1
2008-08-11 09:54 --------- d-----w C:\Programme\Winamp
2008-08-11 09:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Winamp
2008-08-10 21:36 2,829 ----a-w C:\WINDOWS\DIIUnin.pif
2008-08-10 21:36 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-08-02 19:09 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\AdobeUM
2008-07-26 22:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\ICQ
2008-07-26 09:55 --------- d-----w C:\Programme\Microsoft Silverlight
2008-07-21 18:41 --------- d-----w C:\Programme\DNA
2008-07-21 18:36 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\DNA
2008-07-21 18:25 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-21 18:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 19:58 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\teamspeak2
2008-07-20 14:42 --------- d-----w C:\Programme\ICQ6
2008-07-16 19:49 --------- d-----w C:\Programme\iTunes
2008-07-16 19:48 --------- d-----w C:\Programme\iPod
2008-07-16 19:45 --------- d-----w C:\Programme\QuickTime
2008-07-16 19:36 --------- d-----w C:\Programme\Safari
2008-07-03 17:28 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-03 16:13 --------- d-----w C:\Programme\Avira
2008-07-03 16:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-03 14:45 --------- d-----w C:\Programme\Enigma Software Group
2008-07-03 14:16 --------- d-----w C:\Programme\SpyZooka
2008-07-03 13:16 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-03 13:16 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-24 19:44 --------- d-----w C:\Programme\Guitar Pro 5
2008-06-24 19:43 --------- d-----w C:\Programme\Valve
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-05 21:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-07-29 14:24 472 --sha-r C:\WINDOWS\Rmlubg\lA5Rv0.vbs
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024]
"ICQ"="C:\Programme\ICQ 6\ICQ.exe" [2008-04-01 12:40 172280]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 7\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray. dll" [2007-12-05 01:41 81920]
"Office Keyboard"="C:\WINDOWS\MMKeybd.exe" [2004-11-03 12:32 425984]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 19:44 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.e xe" [2008-07-10 10:51 289064]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\ICQ 6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Warcraft III\\War3.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:6112
"6113:TCP"= 6113:TCP:6113
"6114:TCP"= 6114:TCP:6114
"6115:TCP"= 6115:TCP:6115
"6116:TCP"= 6116:TCP:6116
"6117:TCP"= 6117:TCP:6117
"6118:TCP"= 6118:TCP:6118
"6119:TCP"= 6119:TCP:6119
"6112:UDP"= 6112:UDP:6112
"6113:UDP"= 6113:UDP:6113
"6114:UDP"= 6114:UDP:6114
"6115:UDP"= 6115:UDP:6115
"6116:UDP"= 6116:UDP:6116
"6117:UDP"= 6117:UDP:6117
"6118:UDP"= 6118:UDP:6118
"6119:UDP"= 6119:UDP:6119
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]
.
Inhalt des "geplante Tasks" Ordners
2008-07-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKCU-Run-Hoae - C:\PROGRA~1\STEM32~1\notepad.exe
HKCU-Run-MsnMsgr - C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Mozilla\Firefox \Profiles\97dizcy0.default\
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 14:18:01
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************** ************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
************************************************** ************************
.
Zeit der Fertigstellung: 2008-08-19 14:22:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-19 12:22:06
Pre-Run: 13 Verzeichnis(se), 125,489,385,472 Bytes frei
Post-Run: 17 Verzeichnis(se), 125,681,229,824 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /fastdetect /NoExecute=OptIn
212
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:34:18, on 19.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\MMKeybd.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\ICQ 6\ICQ.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Office Keyboard] C:\WINDOWS\MMKeybd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ 6\ICQ.exe" silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207505133125 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207505127000 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 5599 bytes |
|
19.08.2008, 19:27
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivirus Xp 2008 - Logfiles Mach nochmal Durchläufe mit Silentrunners und Blacklight (beides in meiner Signatur). Poste wieder die Logs mit Codetags umschlossen. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\DIIUnin.pif
C:\WINDOWS\DIIUnin.exe
C:\WINDOWS\Rmlubg\lA5Rv0.vbs
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.08.2008, 19:46
| #6 |
| | Antivirus Xp 2008 - Logfiles DllUnin.pif Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.19.0 2008.08.19 -
AntiVir 7.8.1.23 2008.08.19 -
Authentium 5.1.0.4 2008.08.19 -
Avast 4.8.1195.0 2008.08.19 -
AVG 8.0.0.161 2008.08.19 -
BitDefender 7.2 2008.08.19 -
CAT-QuickHeal 9.50 2008.08.19 -
ClamAV 0.93.1 2008.08.19 -
DrWeb 4.44.0.09170 2008.08.19 -
eSafe 7.0.17.0 2008.08.19 -
eTrust-Vet 31.6.6036 2008.08.19 -
Ewido 4.0 2008.08.19 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.19 -
Fortinet 3.14.0.0 2008.08.19 -
GData 2.0.7306.1023 2008.08.19 -
Ikarus T3.1.1.34.0 2008.08.19 -
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.19 -
McAfee 5364 2008.08.19 -
Microsoft 1.3807 2008.08.19 -
NOD32v2 3368 2008.08.19 -
Norman 5.80.02 2008.08.19 -
Panda 9.0.0.4 2008.08.19 -
PCTools 4.4.2.0 2008.08.19 -
Prevx1 V2 2008.08.19 -
Rising 20.58.12.00 2008.08.19 -
Sophos 4.32.0 2008.08.19 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.19 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.19 -
VBA32 3.12.8.3 2008.08.19 -
ViRobot 2008.8.19.1341 2008.08.19 -
VirusBuster 4.5.11.0 2008.08.19 -
Webwasher-Gateway 6.6.2 2008.08.19 -
weitere Informationen
File size: 2829 bytes
MD5...: b67b23a2b0dab45b6232658219da7a1b
SHA1..: b0fbd63169966a0be2461ff67d5fca5bd098b42f
SHA256: 48e25c0536a5821f7972483516480bb629c3f657e24fc77e8fec165616b1dd43
SHA512: f6c19c1508b3b31ae098b9e3a05f047be6c6d4949e61c7dee42454c055c8a479
32fce68ad8e856f3f60be574daca677b233e011709cbd4e1156bd98c21c27e46
PEiD..: -
PEInfo: -
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.19.0 2008.08.19 -
AntiVir 7.8.1.23 2008.08.19 -
Authentium 5.1.0.4 2008.08.19 -
Avast 4.8.1195.0 2008.08.19 -
AVG 8.0.0.161 2008.08.19 -
BitDefender 7.2 2008.08.19 -
CAT-QuickHeal 9.50 2008.08.19 -
ClamAV 0.93.1 2008.08.19 -
DrWeb 4.44.0.09170 2008.08.19 -
eSafe 7.0.17.0 2008.08.19 -
eTrust-Vet 31.6.6036 2008.08.19 -
Ewido 4.0 2008.08.19 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.19 -
Fortinet 3.14.0.0 2008.08.19 -
GData 2.0.7306.1023 2008.08.19 -
Ikarus T3.1.1.34.0 2008.08.19 -
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.19 -
McAfee 5364 2008.08.19 -
Microsoft 1.3807 2008.08.19 -
NOD32v2 3368 2008.08.19 -
Norman 5.80.02 2008.08.19 -
Panda 9.0.0.4 2008.08.19 -
PCTools 4.4.2.0 2008.08.19 -
Prevx1 V2 2008.08.19 -
Rising 20.58.12.00 2008.08.19 -
Sophos 4.32.0 2008.08.19 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.19 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.19 -
VBA32 3.12.8.3 2008.08.19 -
ViRobot 2008.8.19.1341 2008.08.19 -
VirusBuster 4.5.11.0 2008.08.19 -
Webwasher-Gateway 6.6.2 2008.08.19 -
weitere Informationen
File size: 102400 bytes
MD5...: 9033a5d45a5c81fa3605e4c5057f4df5
SHA1..: a5d25d1ab4f32426084095473f73d2d67f5dfbed
SHA256: 86c0fa8981fd1ef0b518ca8a2cc485028eb40b6b59373803a59befd25d4478f1
SHA512: 1331d22f2b68d02c868f40d129b5fa887720e4667041ccc0719396a2d0ffd28d
eebf02b06c3d859705a8f4788b76965231d43609fbc6b8ebcf9bc7a7b4c8c7c6
PEiD..: Armadillo v1.71
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40a387
timedatestamp.....: 0x393398f0 (Tue May 30 10:33:20 2000)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1145a 0x12000 6.48 474602b23386b2425b37cc0066061b44
.rdata 0x13000 0x1e9a 0x2000 5.58 96627e1b6ca29cdaab147f8e68eb6ac1
.data 0x15000 0x10096f8 0x2000 3.41 dc0907e98abe200bc29404e802013458
.rsrc 0x101f000 0x1680 0x2000 2.62 b077762b8d43a2b8ae5f4ac7a7fe0b8d
( 6 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: DeleteFileA, lstrcmpiA, CloseHandle, CreateFileA, GetFileAttributesA, FindFirstFileA, GetFileSize, WriteFile, ReadFile, GetModuleHandleA, GetVersionExA, GetCurrentProcess, GetSystemDirectoryA, MoveFileA, SetFilePointer, OpenEventA, GetModuleFileNameA, InitializeCriticalSection, DeleteCriticalSection, TlsSetValue, SetUnhandledExceptionFilter, TlsAlloc, TlsFree, InterlockedDecrement, TlsGetValue, InterlockedIncrement, FindNextFileA, SetEndOfFile, VirtualQuery, IsBadReadPtr, GetCurrentThread, ReadProcessMemory, IsBadWritePtr, FlushFileBuffers, FindClose, GetLocalTime, FreeLibrary, GetProcAddress, LoadLibraryA, HeapFree, GetProcessHeap, TerminateProcess, GetExitCodeProcess, GetVersion, OutputDebugStringA, HeapAlloc, VirtualAlloc, VirtualFree, GetSystemInfo, RemoveDirectoryA, GetCPInfo, CreateDirectoryA, GetCurrentDirectoryA, GetOEMCP, SetCurrentDirectoryA, SetLastError, lstrlenA, lstrcmpA, lstrcpyA, lstrcatA, ExitProcess, GetLastError, FormatMessageA, GetStringTypeA, GetStringTypeW, RaiseException, LeaveCriticalSection, EnterCriticalSection, GetACP, LCMapStringW, LCMapStringA, SetStdHandle, HeapSize, HeapReAlloc, MultiByteToWideChar, HeapCreate, HeapDestroy, RtlUnwind, GetStdHandle, SetHandleCount, GetFileType, GetEnvironmentStrings, WideCharToMultiByte, GetEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, FreeEnvironmentStringsW, GetStartupInfoA, GetCommandLineA
> USER32.dll: ReleaseDC, GetWindowRect, RegisterWindowMessageA, GetDC, ExitWindowsEx, SetDlgItemTextA, DialogBoxParamA, wvsprintfA, wsprintfA, PostMessageA, SetFocus, ShowWindow, BringWindowToTop, SetCursor, SetActiveWindow, SetForegroundWindow, CheckDlgButton, IsWindow, IsWindowVisible, FindWindowA, GetDlgItem, EnableWindow, SetWindowPos, LoadCursorA, LoadStringA, MessageBoxA, EndDialog
> GDI32.dll: GetDeviceCaps
> ADVAPI32.dll: RegEnumValueA, RegOpenKeyExA, RegCreateKeyExA, RegFlushKey, RegCloseKey, RegSetValueExA, RegDeleteKeyA, RegDeleteValueA, RegQueryValueExA, RegEnumKeyA, RegQueryInfoKeyA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, GetUserNameA
> SHELL32.dll: ShellExecuteA
( 0 exports )
Wenn ich C:\WINDOWS\Rmlubg\lA5Rv0.vbs hochladen möchte sagt er, dass die Datei schon analysiert wurde die Ergebnis war folgendes: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.13.0 2008.08.14 -
AntiVir 7.8.1.19 2008.08.13 ADSPY/Isearch
Authentium 5.1.0.4 2008.08.14 -
Avast 4.8.1195.0 2008.08.13 VBS:Malware-gen
AVG 8.0.0.161 2008.08.13 -
BitDefender 7.2 2008.08.14 Adware.Isearch.D
CAT-QuickHeal 9.50 2008.08.13 -
ClamAV 0.93.1 2008.08.14 -
DrWeb 4.44.0.09170 2008.08.14 -
eSafe 7.0.17.0 2008.08.13 Spyware.Gen
eTrust-Vet 31.6.6031 2008.08.13 -
Ewido 4.0 2008.08.13 Trojan.Small
F-Prot 4.4.4.56 2008.08.13 -
F-Secure 7.60.13501.0 2008.08.14 -
Fortinet 3.14.0.0 2008.08.13 Adware/Isearch
GData 2.0.7306.1023 2008.08.14 VBS:Malware-gen
Ikarus T3.1.1.34.0 2008.08.14 AdWare.Isearch
K7AntiVirus 7.10.413 2008.08.13 -
Kaspersky 7.0.0.125 2008.08.14 -
McAfee 5360 2008.08.13 potentially unwanted program Adware-Isearch
Microsoft 1.3807 2008.08.14 Adware:Win32/CMDService
NOD32v2 3353 2008.08.13 -
Norman 5.80.02 2008.08.13 VBS/CommAd.A
Panda 9.0.0.4 2008.08.13 Adware/CommAd
PCTools 4.4.2.0 2008.08.13 -
Prevx1 V2 2008.08.14 Malicious Software
Rising 20.57.22.00 2008.08.13 -
Sophos 4.32.0 2008.08.14 CommAd
Sunbelt 3.1.1542.1 2008.08.13 -
Symantec 10 2008.08.14 Spyware.ISearch
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.14 -
VBA32 3.12.8.3 2008.08.13 -
ViRobot 2008.8.13.1335 2008.08.13 -
VirusBuster 4.5.11.0 2008.08.13 -
Webwasher-Gateway 6.6.2 2008.08.14 Ad-Spyware.Isearch
weitere Informationen
File size: 472 bytes
MD5...: 387edbb90a5275d1b464eb31f3162c40
SHA1..: 40c7e89572e2bee9f8bd24a0163c500205d0cfb8
SHA256: a9468209ba2d2acd4f443c47d0df768f0ae235fb2a9b0bb8195f5635d73028d6
SHA512: 6b90d5b951170b0b116302461d22c96143a555ff9b9c85fd4bd9ae6f3558193a
b6d2066f32cdda30f8ba8707ac5fbc8d01bc264ab5529fb729f4e4ee79cdc587
PEiD..: -
PEInfo: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=387EDBB9D80A527501D100B464EB3100F3162C40
Hoffe das ist der Log: Code:
ATTFilter 08/19/08 20:32:46 [Info]: BlackLight Engine 1.0.70 initialized
08/19/08 20:32:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/19/08 20:32:46 [Note]: 7019 4
08/19/08 20:32:46 [Note]: 7005 0
08/19/08 20:32:50 [Note]: 7006 0
08/19/08 20:32:50 [Note]: 7011 1292
08/19/08 20:32:50 [Note]: 7035 0
08/19/08 20:32:50 [Note]: 7026 0
08/19/08 20:32:50 [Note]: 7026 0
08/19/08 20:32:51 [Note]: FSRAW library version 1.7.1024
08/19/08 20:40:34 [Note]: 2000 1012
08/19/08 20:43:16 [Note]: 7007 0
Code:
ATTFilter "Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"ICQ" = ""C:\Programme\ICQ 6\ICQ.exe" silent" ["ICQ, Inc."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"Office Keyboard" = "C:\WINDOWS\MMKeybd.exe" ["Netropa Corp."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\
<<!>> ("msapsspc.dllschannel.dlldigest.dllmsnsspc.dll" [file not found]) "SecurityProviders" = "msapsspc.dllschannel.dlldigest.dllmsnsspc.dll"
HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Default executables:
--------------------
<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"
Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}
"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}
"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}
"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Windows Portable Device AutoPlay Handlers
-----------------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]
iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]
iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]
iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]
MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
-> {HKLM...CLSID} = "ShellExecute HW Event Handler"
\LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]
WinampPlayMediaOnArrival\
"Provider" = "Winamp"
"InvokeProgID" = "Winamp.File"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"]
Startup items in "Finn" & "All Users" startup folders:
------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
Enabled Scheduled Tasks:
------------------------
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
---------- (launch time: 2008-08-19 20:44:59)
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 43 seconds, including 18 seconds for message boxes)
|
|
20.08.2008, 16:45
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivirus Xp 2008 - LogfilesCode:
ATTFilter C:\WINDOWS\Rmlubg
Ansonsten sieht alles soweit eigentlich okay aus. Sind denn noch irgendwelche Auffälligkeiten am PC? Aktualisiere mal bei Gelegenheit auf das Service Pack 3. Spiel auch ne neue Version vom AdobeReader ein.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.08.2008, 18:39
| #8 |
| | Antivirus Xp 2008 - Logfiles Ordner ist gelöscht, mir fällt auch nix besonderes mehr auf. Beim E-Mail Konto hat sich auch keiner mehr eingelogt Servicepack wird gleich gemacht und der Reader auch aktualisiert. Vielen vielen dank für die Hilfe, das war echt super! :aplaus: |
|
| Themen zu Antivirus Xp 2008 - Logfiles |
| .dll, 1.tmp, adobe, antivirus, auswerten, avira, bho, content.ie5, desktop, e-mail, einstellungen, explorer, fake.dropped.malware, firefox, helfen, heulen, hijack, hijack.displayproperties, hijack.wallpaper, hijackthis, hijackthis log, hkus\s-1-5-18, icq 6, internet, internet explorer, log's, logfile, malware.trace, monitor, mozilla, mozilla firefox, notepad.exe, prima, quara, registrierungsschlüssel, rogue.multiple, rundll, scan, software, svchost, system, trojan.downloader, trojan.dropper, windows xp |
Linear-Darstellung
