Hier is runscanner mir is grad aufgefallen das ich ganz komisch ordner auf meinem C: liegen hab.. da is nur ein updater file drin soll ich die löschen?

Zitat:

Runscanner logfile RunScanner freeware startup, hijack and malware analyzer

* = signed file
- = file not found

General info
------------
Computer name : WILDTHING
Creation time : 18.09.2008 20:48:36
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.13
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.7.0.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

Running processes
-----------------
* C:\WINDOWS\system32\services.exe (Microsoft Corporation)
* C:\WINDOWS\System32\alg.exe (Microsoft Corporation)
* C:\WINDOWS\system32\csrss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
* C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
* C:\Programme\F-Secure\Anti-Virus\fsav32.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FAMEH32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe (F-Secure Corporation)
* C:\Programme\F-Secure\FSAUA\program\fsaua.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FCH32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\FSGUI\fsguidll.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FIH32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FSMA32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FSMB32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FNRB32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Anti-Virus\fsqh.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FSM32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Anti-Virus\fssm32.exe (F-Secure Corp.)
* C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE (F-Secure Corp.)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
* C:\WINDOWS\system32\igfxsrvc.exe (Intel Corporation)
* C:\Programme\Java\jre1.6.0_07\bin\jusched.exe (Sun Microsystems, Inc.)
* C:\WINDOWS\system32\lsass.exe (Microsoft Corporation)
* C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
* C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
C:\Programme\phonostar\ps_olect.exe (phonostar)
C:\Programme\phonostar\ps_radio.exe (phonostar)
* C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
* C:\RunScanner.exe (Runscanner.net)
* C:\Programme\SiteAdvisor\6261\SAService.exe
* C:\Programme\SiteAdvisor\6261\SiteAdv.exe
* C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)
* C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
* C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
* C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
C:\Programme\WinRAR\WinRAR.exe

Unrated items
-------------
002 * C:\Programme\SiteAdvisor\6261\SiteAdv.exe
010 C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe LM Service)
010 C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (InstallDriver Table Manager)
010 * C:\Programme\SiteAdvisor\6261\SAService.exe (SiteAdvisor-Dienst)
011 C:\WINDOWS\system32\drivers\Aspi32.sys (Aspi32)
011 C:\WINDOWS\System32\DRIVERS\gmer.sys (gmer)
011 C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv)
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}
031 * C:\Programme\SiteAdvisor\6261\SiteAdv.dll {3A5DC592-7723-4EAA-9EE6-AF4222BCF879}
035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
041 * C:\Programme\SiteAdvisor\6261\SiteAdv.dll {0BF43445-2F28-4351-9252-17FE6E806AA0}
052 * C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll (Google Inc.) {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
052 * C:\Programme\SiteAdvisor\6261\SiteAdv.dll {089FD14D-132B-48FC-8861-0048AE113215}
061 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
061 C:\WINDOWS\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D}
061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47}
061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8}
061 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
062 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
073 1-Klick-Wartung.job : C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe (TuneUp Software GmbH)
100 Start Page HKCU : Google
102 GUID / CLSID not found {32683183-48a0-441b-a342-7c2a440a9478}
105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
120 NameServer {23AC2953-9B6F-459F-9352-904BF28F5680} : 192.168.178.1
170 {0dd855bd-eea9-11dc-8c6c-0013498e6beb} : F:\setupSNK.exe
173 GUID / CLSID not found
173 GUID / CLSID not found {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}
173 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
173 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
173 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
220 GUID / CLSID not found {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}
221 GUID / CLSID not found
221 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
221 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
221 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
225 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
226 GUID / CLSID not found {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}
227 GUID / CLSID not found
227 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
227 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
229 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
231 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info

Missing files
-------------
011 C:\WINDOWS\system32\drivers\Abiosdsk.sys
011 C:\WINDOWS\system32\drivers\abp480n5.sys
011 C:\WINDOWS\system32\drivers\adpu160m.sys
011 C:\WINDOWS\system32\drivers\Aha154x.sys
011 C:\WINDOWS\system32\drivers\aic78u2.sys
011 C:\WINDOWS\system32\drivers\aic78xx.sys
011 C:\WINDOWS\system32\drivers\AliIde.sys
011 C:\WINDOWS\system32\drivers\amsint.sys
011 C:\WINDOWS\system32\drivers\asc.sys
011 C:\WINDOWS\system32\drivers\asc3350p.sys
011 C:\WINDOWS\system32\drivers\asc3550.sys
011 C:\WINDOWS\system32\drivers\Atdisk.sys
011 C:\ComboFix\catchme.sys
011 C:\WINDOWS\system32\drivers\cd20xrnt.sys
011 C:\WINDOWS\system32\drivers\Changer.sys
011 C:\WINDOWS\system32\drivers\CmdIde.sys
011 C:\WINDOWS\system32\drivers\Cpqarray.sys
011 C:\WINDOWS\system32\drivers\dac2w2k.sys
011 C:\WINDOWS\system32\drivers\dac960nt.sys
011 C:\WINDOWS\system32\drivers\dpti2o.sys
011 D:\INSTALL\GMSIPCI.SYS
011 C:\WINDOWS\system32\drivers\hpn.sys
011 C:\WINDOWS\system32\drivers\i2omgmt.sys
011 C:\WINDOWS\system32\drivers\i2omp.sys
011 C:\WINDOWS\system32\drivers\ini910u.sys
011 C:\WINDOWS\system32\drivers\IntelIde.sys
011 C:\WINDOWS\system32\drivers\lbrtfdc.sys
011 C:\WINDOWS\system32\drivers\mraid35x.sys
011 C:\WINDOWS\system32\drivers\PCIDump.sys
011 C:\WINDOWS\system32\drivers\PDCOMP.sys
011 C:\WINDOWS\system32\drivers\PDFRAME.sys
011 C:\WINDOWS\system32\drivers\PDRELI.sys
011 C:\WINDOWS\system32\drivers\PDRFRAME.sys
011 C:\WINDOWS\system32\drivers\perc2.sys
011 C:\WINDOWS\system32\drivers\perc2hib.sys
011 C:\WINDOWS\system32\drivers\ql1080.sys
011 C:\WINDOWS\system32\drivers\Ql10wnt.sys
011 C:\WINDOWS\system32\drivers\ql12160.sys
011 C:\WINDOWS\system32\drivers\ql1240.sys
011 C:\WINDOWS\system32\drivers\ql1280.sys
011 C:\WINDOWS\system32\drivers\Simbad.sys
011 C:\WINDOWS\system32\drivers\Sparrow.sys
011 C:\WINDOWS\system32\drivers\sym_hi.sys
011 C:\WINDOWS\system32\drivers\sym_u3.sys
011 C:\WINDOWS\system32\drivers\symc810.sys
011 C:\WINDOWS\system32\drivers\symc8xx.sys
011 C:\WINDOWS\system32\drivers\TosIde.sys
011 C:\WINDOWS\system32\drivers\ultra.sys
011 C:\WINDOWS\system32\drivers\ViaIde.sys
011 C:\WINDOWS\system32\drivers\WDICA.sys
061 deskpan.dll

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:18, on 18.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\phonostar\ps_radio.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\phonostar\ps_olect.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [l]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = []http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = []http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [l]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - l]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 7112 bytes

ich hab grad wieder mit F-Secre gescannt und diesma war wieder spyware auf meinem rechner obwohl ich mich nur auf trojaner-board und lokalisten befunden hab
also muss das zeug von irgentwas runtergeladen werden...

Zitat:

* C:\Dokumente und Einstellungen\Admin\Cookies\admin@adserver.71i[1].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@adfarm1.adition[1].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@ivwbox[1].txt Aktion: gelöscht

Das sind doch nur Tracking Cookies.

wiso werden mir die immer als spyware angezeigt?!

Weil AV-Programme immer alles gefährlicher darstellen, als es ist. (oder umgekehrt)

was das dann fürn mist?! naja danke und wie schauts mit den beiden ligs aus auch beides ok?? und vll wenn ich dir die beiden dateien ma schicke oder so könntest du mri dann sagen was das is also die komischen ordner....

Welche Dateien und welche komischen Ordner?

diese beiden in dene befindet sich ne datei die update heißt...

Kannst du die Update.exe (?) bei Virustotal hochladen und auswerten lassen?

Den Analyse-Link posten.

hmm scheinbar is die datei unnötig und ungefährlich Oo kann man eine stellvertretend für beide nehmen?

Zitat:

Datei update.exe empfangen 2008.09.19 14:15:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.19.0 2008.09.19 -
AntiVir 7.8.1.34 2008.09.19 -
Authentium 5.1.0.4 2008.09.19 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.19 -
BitDefender 7.2 2008.09.19 -
CAT-QuickHeal 9.50 2008.09.19 -
ClamAV 0.93.1 2008.09.19 -
DrWeb 4.44.0.09170 2008.09.19 -
eSafe 7.0.17.0 2008.09.18 -
eTrust-Vet 31.6.6091 2008.09.16 -
Ewido 4.0 2008.09.19 -
F-Prot 4.4.4.56 2008.09.19 -
F-Secure 8.0.14332.0 2008.09.19 -
Fortinet 3.113.0.0 2008.09.19 -
GData 19 2008.09.19 -
Ikarus T3.1.1.34.0 2008.09.19 -
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.19 -
McAfee 5387 2008.09.18 -
Microsoft 1.3903 2008.09.19 -
NOD32v2 3455 2008.09.19 -
Norman 5.80.02 2008.09.18 -
Panda 9.0.0.4 2008.09.19 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.19 -
Rising 20.62.42.00 2008.09.19 -
Sophos 4.33.0 2008.09.19 -
Sunbelt 3.1.1647.1 2008.09.18 -
Symantec 10 2008.09.19 -
TheHacker 6.3.0.9.087 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.19 -
VBA32 3.12.8.5 2008.09.18 -
ViRobot 2008.9.19.1383 2008.09.19 -
VirusBuster 4.5.11.0 2008.09.18 -
Webwasher-Gateway 6.6.2 2008.09.19 -
weitere Informationen
File size: 742192 bytes
MD5...: b9fa27bea6b6fb59cd79aa46e58f9176
SHA1..: fe65b899ed5a8c095a7e6a996e48fab5097482a0
SHA256: 12f4bcba366c909145ade38924aacc11bc12d8696c37bb05567055fab81c70ef
SHA512: 45f7152ba7b878b470048be07eae9e4e9daf8bcba8a2ad989b2aa9479ee1e38c
335ae98387d687fc57ffb015c9530798bbb2f80e04f90defe7404b0103085bb7
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x106a571
timedatestamp.....: 0x44f3510f (Mon Aug 28 20:24:47 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x952d2 0x95400 6.66 113d1d09fdcffa1edcc2f5d0527961f7
.data 0x97000 0x7dd14 0x1000 4.54 895b1e77b8a01f9fb854030c29fc77c3
.rsrc 0x115000 0x1ce38 0x1d000 4.01 e1f5b0f764c8b946397bc89c45d3f1da

( 19 imports )
> ADVAPI32.dll: QueryServiceConfigA, UnlockServiceDatabase, GetNamedSecurityInfoA, SetNamedSecurityInfoA, GetTokenInformation, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenProcessToken, RegLoadKeyA, RegUnLoadKeyA, AdjustTokenPrivileges, RegCreateKeyExW, RegQueryValueExW, RegSetValueExW, GetLengthSid, CopySid, GetAclInformation, SetFileSecurityW, AddAce, RegQueryInfoKeyA, RegSaveKeyA, RegFlushKey, EnumDependentServicesA, InitializeAcl, AddAccessAllowedAce, SetFileSecurityA, QueryServiceStatus, GetServiceDisplayNameA, RegOpenKeyA, RegDeleteValueA, OpenSCManagerA, OpenServiceA, StartServiceA, ControlService, CloseServiceHandle, AllocateAndInitializeSid, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, SetSecurityDescriptorOwner, RegSetKeySecurity, FreeSid, RegEnumKeyExA, RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, LockServiceDatabase, GetFileSecurityA, RegOpenKeyExW, AbortSystemShutdownA, InitiateSystemShutdownA, OpenServiceW, EnumServicesStatusExA, ChangeServiceConfigA
> COMCTL32.dll: PropertySheetW, CreatePropertySheetPageW
> CRYPT32.dll: CertCreateCertificateContext, CertOpenStore, CryptEncodeObject, CertSetCertificateContextProperty, CertAddCertificateContextToStore, CertCloseStore, CertFreeCertificateContext
> GDI32.dll: GetDeviceCaps, CreateFontIndirectA, DeleteObject, CreateCompatibleDC, GetDIBits, SelectObject, StretchBlt, BitBlt
> imagehlp.dll: EnumerateLoadedModules64
> KERNEL32.dll: SetEndOfFile, ReleaseSemaphore, GetComputerNameA, GetCompressedFileSizeA, GetDiskFreeSpaceA, GetDiskFreeSpaceExA, GetCurrentProcess, GetTempPathA, LoadLibraryExA, FindResourceA, LoadResource, LockResource, FreeResource, lstrlenA, GetSystemInfo, SetEnvironmentVariableA, SetUnhandledExceptionFilter, ExitProcess, GetFullPathNameA, GetVolumeInformationA, lstrcmpA, GetWindowsDirectoryW, GetVolumeInformationW, SetErrorMode, GetCommandLineA, GetCommandLineW, CreateMutexA, WaitForSingleObject, DosDateTimeToFileTime, LocalFileTimeToFileTime, SetFileTime, GetFileInformationByHandle, FileTimeToDosDateTime, GetModuleHandleA, FormatMessageW, ReadFile, GetTickCount, CreateEventA, CreateThread, SetThreadPriority, WaitForMultipleObjects, GetExitCodeProcess, RemoveDirectoryA, EnterCriticalSection, CreateProcessA, MapViewOfFileEx, FreeLibrary, LeaveCriticalSection, FileTimeToLocalFileTime, FileTimeToSystemTime, DeviceIoControl, GetFileAttributesExA, VirtualFree, WritePrivateProfileStringA, FindNextFileW, SetCurrentDirectoryA, GetModuleFileNameA, GetEnvironmentVariableA, InitializeCriticalSection, lstrcmpiW, FindFirstFileW, Sleep, GetThreadLocale, TerminateProcess, UnhandledExceptionFilter, GetStartupInfoA, GetFileTime, DeleteFileW, CreateFileW, FlushViewOfFile, FlushFileBuffers, GetLocaleInfoA, InterlockedDecrement, VirtualAlloc, SetFilePointer, WriteFile, InterlockedCompareExchange, GetSystemDirectoryA, GetTempFileNameA, CopyFileA, OpenProcess, MoveFileExA, SetFileAttributesA, GetVersionExA, LocalAlloc, LocalFree, SetLastError, CreateFileA, GetFileSize, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, CloseHandle, GetDriveTypeA, ExpandEnvironmentStringsA, FindFirstFileA, FindNextFileA, LoadLibraryW, MultiByteToWideChar, WideCharToMultiByte, lstrcmpiA, FormatMessageA, GetFileAttributesA, CreateDirectoryA, GetSystemDirectoryW, LoadLibraryA, GetProcAddress, GetLastError, GetWindowsDirectoryA, DeleteFileA, lstrcpynA, DefineDosDeviceA, QueryDosDeviceA, CreateEventW, WriteProcessMemory, VirtualAllocEx, CreateRemoteThread, InterlockedIncrement, GetFullPathNameW, GetFileSizeEx, OpenEventA, GetLocalTime, lstrlenW, GetDriveTypeW, lstrcpynW, lstrcpyW, SearchPathW, ExpandEnvironmentStringsW, GetVersionExW, GetTempFileNameW, CopyFileW, ReleaseMutex, GetModuleFileNameW, GetSystemDefaultLangID, DuplicateHandle, CreateProcessW, OpenFileMappingA, RaiseException, GlobalFree, GlobalUnlock, GlobalHandle, GlobalLock, GlobalAlloc, HeapDestroy, HeapCreate, GetCurrentThread, GetExitCodeThread, CreateSemaphoreA, MoveFileA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetPrivateProfileStringA, HeapAlloc, GetProcessHeap, HeapFree, GetSystemTimeAsFileTime, DelayLoadFailureHook, SetEvent, FindClose, DeleteCriticalSection, TlsAlloc, TlsGetValue, TlsSetValue, GetSystemTime, VirtualProtect, InitializeCriticalSectionAndSpinCount, GetVersion, TlsFree
> MPR.dll: WNetGetUniversalNameA, WNetGetUserA
> msvcrt.dll: _itoa, strncpy, _except_handler3, strchr, _stricmp, sprintf, strrchr, mbstowcs, malloc, free, _vsnprintf, memmove, vsprintf, strncat, _wcsdup, _errno, _open, _read, _snprintf, _write, _close, _lseek, remove, _tempnam, wcscat, _vsnwprintf, ctime, _wcsicmp, _strnicmp, wcsstr, _snwprintf, _local_unwind2, _memicmp, atoi, realloc, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, memchr, _strcmpi, wcscpy, _mbslwr, strstr, swprintf, _terminate@@YAXXZ, __1type_info@@UAE@XZ, _ltoa, wcschr, fprintf, wcstoul, wcslen, _strdup, calloc, getenv, strtoul, strncmp, _mbsupr, rename, strcspn, isdigit, wcsrchr, wcscmp, wcsncat, wcsncpy, toupper, strspn, atol, strpbrk, isspace, _ultoa, _wtoi64, _wcslwr, strtok, _itow, _what@exception@@UBEPBDXZ, __1exception@@UAE@XZ, __0exception@@QAE@ABQBD@Z, __CxxFrameHandler, __3@YAXPAX@Z, __0exception@@QAE@ABV0@@Z, _CxxThrowException, fclose, __2@YAPAXI@Z, fopen
> ntdll.dll: RtlInitUnicodeString, RtlUnicodeStringToAnsiString, RtlFreeAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, NtClose, NtAdjustPrivilegesToken, NtOpenProcessToken, NtQueryInformationProcess, RtlCharToInteger, LdrAccessResource, LdrFindResource_U, NtQuerySystemInformation, NtShutdownSystem, RtlRaiseStatus, RtlFreeHeap, RtlAllocateHeap, NtYieldExecution, NtSetSystemInformation, NtCreateSection, NtOpenFile, NtOpenSection, NtOpenDirectoryObject, RtlCompareUnicodeString, NtCreateFile, RtlDosPathNameToNtPathName_U, LdrUnloadDll, NtFreeVirtualMemory, NtQueryInformationThread, NtWaitForSingleObject, RtlCreateUserThread, NtWriteVirtualMemory, NtAllocateVirtualMemory, NtOpenProcess, LdrGetProcedureAddress, LdrLoadDll, RtlDestroyHeap, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlGetAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, RtlAllocateAndInitializeSid, RtlCreateHeap, DbgPrint, RtlFreeUnicodeString, NtQuerySystemTime, RtlTimeToTimeFields
> ole32.dll: CoInitialize, CoUninitialize, CoCreateInstance
> OLEAUT32.dll: -
> PSAPI.DLL: GetModuleFileNameExA
> RPCRT4.dll: UuidFromStringA
> SHELL32.dll: SHGetPathFromIDListA, SHGetMalloc, SHGetSpecialFolderPathA, SHBrowseForFolderA
> UPDSPAPI.dll: UpdSpSetDynamicStringA, UpdSpCopyErrorA, UpdSpPromptForDiskA, UpdSpInitDefaultQueueCallbackEx, UpdSpIterateCabinetA, UpdSpGetLineCountW, UpdSpGetLineByIndexW, UpdSpGetStringFieldW, UpdSpCommitFileQueueA, UpdSpOpenFileQueue, UpdSpGetSourceInfoA, UpdSpGetSourceFileLocationA, UpdSpCloseFileQueue, UpdSpDefaultQueueCallbackW, UpdSpDefaultQueueCallbackA, UpdSpDecompressOrCopyFileA, UpdSpGetTargetPathW, UpdSpInstallFromInfSectionA, UpdSpQueueCopyA, UpdSpGetIntField, UpdSpGetBinaryField, UpdSpScanFileQueueA, UpdSpGetLineTextW, UpdSpOpenInfFileA, UpdSpCloseInfFile, UpdSpSetDirectoryIdA, UpdSpInstallFilesFromInfSectionA, UpdSpGetLineCountA, UpdSpGetLineByIndexA, UpdSpGetStringFieldA, UpdSpFindFirstLineA, UpdSpGetLineTextA, UpdSpGetFieldCount, UpdSpFindNextLine, UpdSpGetMultiSzFieldW, UpdSpFindFirstLineW, UpdSpFindNextMatchLineW, UpdSpGetTargetPathA
> USER32.dll: ShowWindow, wvsprintfW, EnumWindowStationsA, OpenWindowStationA, GetProcessWindowStation, SetProcessWindowStation, EnumDesktopsA, CloseWindowStation, OpenDesktopA, GetThreadDesktop, SetThreadDesktop, EnumWindows, CloseDesktop, GetClientRect, FindWindowExA, GetWindowThreadProcessId, GetWindow, RegisterClassA, CreateWindowExA, DefWindowProcA, MessageBoxW, GetSystemMetrics, LoadStringA, LoadStringW, MessageBoxA, PostQuitMessage, DestroyWindow, SendMessageA, SetDlgItemTextA, SystemParametersInfoA, EnableWindow, GetDlgItem, DispatchMessageA, TranslateMessage, GetMessageA, PostThreadMessageA, SetWindowTextW, RedrawWindow, SetWindowLongA, GetWindowLongA, GetWindowTextA, PostMessageA, EnumChildWindows, SetDlgItemTextW, LoadBitmapA, IsDlgButtonChecked, SetTimer, CheckDlgButton, KillTimer, ReleaseDC, GetDC, SetForegroundWindow, SetWindowTextA, EndDialog, DialogBoxParamA, GetDesktopWindow, SetFocus
> USERENV.dll: -, -, -
> VERSION.dll: VerQueryValueW, VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoW, GetFileVersionInfoSizeW, GetFileVersionInfoA
> WINSPOOL.DRV: GetPrinterDriverDirectoryA

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=b9fa27bea6b6fb59cd79aa46e58f9176

Lieber die andere auch noch auswerten lassen.
Was steht bei "Beschreibung:" wenn du auf die Datei gehst (Rechtsklick => Eigenschaften)?

da steht irgentwas von windows service pack setup
aber wiso is des in einem so komischen ordner?! kann das sein?

Ist schon möglich, ich kann es dir leider nicht spontan sagen.
Ich hör mich mal um und melde mich, falls ich was brauchbares gefunden hab.

Auf jedenfall scheint die Datei legitim zu sein, wenn es von Windows stammt.

solong..

Hab auch solche Ordner Die sollten legitim sein und von SP installationen sein...

grüsse trojan-death