| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enferntWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.02.2009, 03:59
| #1 |
| |  TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Bin für jede gute Idee sehr dankbar. Und zwar hat sich mein Notebook mit einem Trojaner angesteckt. Beim Starten gibt AntiVir fünf Meldungen mit unterschiedlichen Schädlingen aus: - TR/Drop.Agent.aghi - TR/Drop.Agent.agig - TR/Crypt.CFI.Gen - TR/Buzus.ajst dazu sind mir die folgenden Dateien aufgefallen: - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\388.exe - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\a.exe - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\protocol.exe - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\lsass.exe - C:\RECYCLER\S-1-5-21-7031009475-7471204206-886289494-8409\winservices.exe Hier die Log von HijackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:47:55, on 05.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\ATK Hotkey\Hcontrol.exe C:\Programme\ATK Hotkey\MsgTranAgt.exe C:\Programme\ATKOSD2\ATKOSD2.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\ATK Hotkey\ATKOSD.exe C:\Programme\ATK Hotkey\WDC.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe" O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe" O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-7031009475-7471204206-886289494-8409\winservices.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{42D8394F-9001-4113-9F3D-38D20E87CCB7}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9002C9BD-3646-4AD7-B9AF-0971B0F23B2B}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B88D512B-3D2E-42C1-AA40-2709A9C591CB}: NameServer = 192.168.1.1 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- End of file - 5006 bytes - eScan hat mir mitgeteilt, dass die Autorun.inf der beiden Partitionen C und D infiziert sein sollen (Fujack / NetSonic) - SuperAntiSpyware hat dies gefunden: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 02/05/2009 at 02:58 AM
Application Version : 4.25.1012
Core Rules Database Version : 3744
Trace Rules Database Version: 1712
Scan type : Complete Scan
Total Scan Time : 00:39:52
Memory items scanned : 612
Memory threats detected : 0
Registry items scanned : 4864
Registry threats detected : 0
File items scanned : 65298
File threats detected : 6
Trojan.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\171.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\423.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\628.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\969.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\UM6FLQXE\PROTOCOL[1].EXE
Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE
Gibt es noch Hoffnung? |
|
05.02.2009, 09:55
| #2 |
  | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hi,
__________________zuerst alle Tools runterladen, installieren (MAM) und dann offline gehen, Bereinigung durchführen und dann online gehen. Bereinigen (nur download): Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird. Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu. MAM (installieren und updaten): Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. combofix: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Disinfector: Autorun-Vrius und Autorun disablen! \Autorun.inf \resycled \resycled\boot.com Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen... http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Beschreibung ausdrucken, offline gehen: Disinfector: Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. CCleaner: Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird. Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu. MAM: Komplettscan und alles bereinigen, Log speichern! Combofix: Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Online gehen und alle Logs poste... chris
__________________ |
|
05.02.2009, 14:22
| #3 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Erstmal herzlichen Dank für die Hilfe.
__________________Wie beschrieben hab ich die vier Programme genutzt. - Der erste MAM-Log nach dem ccleaner: Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1730
Windows 5.1.2600 Service Pack 3
05.02.2009 13:17:10
mbam-log-2009-02-05 (13-17-10).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 107583
Laufzeit: 29 minute(s), 49 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows service help (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\RECYCLER\S-1-5-21-7031009475-7471204206-886289494-8409\winservices.exe (Trojan.Agent) -> Delete on reboot.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1730
Windows 5.1.2600 Service Pack 3
05.02.2009 13:48:34
mbam-log-2009-02-05 (13-48-34).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 107559
Laufzeit: 23 minute(s), 42 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter ComboFix 09-02-04.04 - *** 2009-02-05 13:57:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1509 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
c:\windows\regedit.com
c:\windows\system32\_005602_.tmp.dll
c:\windows\system32\taskmgr.com
D:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.
2009-02-05 12:39 . 2009-02-05 12:39 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-05 12:39 . 2009-02-05 12:39 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-02-05 12:39 . 2009-02-05 12:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-05 12:39 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-05 12:39 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-05 12:25 . 2009-02-05 12:25 <DIR> d-------- c:\programme\CCleaner
2009-02-05 02:14 . 2009-02-05 02:14 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-05 02:14 . 2009-02-05 02:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 22:52 . 2009-02-05 03:05 <DIR> d-------- c:\programme\Navilog1
2009-02-04 22:28 . 2009-02-04 22:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-02-04 22:28 . 2009-02-04 22:28 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-02-04 22:28 . 2009-02-04 22:28 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-02-04 22:28 . 2008-04-14 06:53 153,600 --a------ c:\windows\R.COM
2009-02-04 22:28 . 2008-04-14 06:53 140,800 --a------ c:\windows\system32\T.COM
2009-02-04 22:28 . 2009-02-04 22:28 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-02-04 22:28 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-02-04 22:28 . 2009-02-05 03:44 28 --a------ c:\windows\Lic.xxx
2009-02-04 18:40 . 2009-02-04 18:40 <DIR> d-------- c:\programme\Trend Micro
2009-02-02 18:01 . 2009-02-02 18:02 <DIR> d-------- c:\programme\PDFCreator
2009-02-02 18:01 . 1998-07-06 18:55 158,208 --a------ c:\windows\system32\MSCMCDE.DLL
2009-02-02 18:01 . 1998-06-24 01:00 137,000 --a------ c:\windows\system32\MSMAPI32.OCX
2009-02-02 18:01 . 1998-07-06 18:56 125,712 --a------ c:\windows\system32\VB6DE.DLL
2009-02-02 18:01 . 2001-10-28 17:42 116,224 --a------ c:\windows\system32\pdfcmnnt.dll
2009-02-02 18:01 . 1998-07-06 18:55 64,512 --a------ c:\windows\system32\MSCC2DE.DLL
2009-02-02 18:01 . 1998-07-06 01:00 23,552 --a------ c:\windows\system32\MSMPIDE.DLL
2009-02-02 17:48 . 2009-02-02 17:48 <DIR> d-------- c:\programme\gs
2009-02-02 17:48 . 2009-02-02 17:49 43 --a------ c:\windows\gswin32.ini
2009-01-28 12:46 . 2009-01-28 12:46 <DIR> d--h----- c:\windows\PIF
2009-01-17 21:29 . 2009-01-17 21:29 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Xi
2009-01-17 21:28 . 2009-01-17 21:28 <DIR> d-------- c:\programme\Xi
2009-01-17 13:42 . 2009-01-17 13:41 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-15 11:01 . 2009-01-15 11:01 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org
2009-01-15 10:59 . 2009-01-15 10:59 <DIR> d-------- c:\programme\OpenOffice.org 3
2009-01-15 10:59 . 2009-01-15 10:59 <DIR> d-------- c:\programme\JRE
2009-01-06 16:32 . 2009-01-06 16:32 <DIR> d-------- c:\programme\Lavalys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 11:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-04 19:28 --------- d-----w c:\programme\Mozilla Thunderbird
2009-02-03 04:09 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\***rent
2009-01-28 19:06 --------- d-----w c:\programme\Runtime Software
2009-01-17 12:41 --------- d-----w c:\programme\Java
2009-01-15 09:58 --------- d-----w c:\programme\OpenOffice.org 2.4
2009-01-15 09:55 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2001-03-28 11:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-11-28 229376]
"MsgTranAgt"="c:\programme\ATK Hotkey\MsgTranAgt.exe" [2007-11-04 106496]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-17 136600]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 c:\windows\RTHDCPL.exe]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-28 113664]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\***rent\\***rent.exe"=
"c:\\Programme\\Xi\\NetXfer\\NetTransport.exe"=
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\progra~1\ATKHOT~1\ASNDIS5.SYS [2008-06-28 16269]
S4 Qnetberadad;Qnetberadad; [x]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}]
\Shell\AutoRun\command - F:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: {42D8394F-9001-4113-9F3D-38D20E87CCB7} = 192.168.1.1
TCP: {9002C9BD-3646-4AD7-B9AF-0971B0F23B2B} = 192.168.1.1
TCP: {B88D512B-3D2E-42C1-AA40-2709A9C591CB} = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y0zwbk42.default\
FF - prefs.js: browser.startup.homepage - w**.google.de
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 13:58:25
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-05 13:59:31
ComboFix-quarantined-files.txt 2009-02-05 12:59:29
Vor Suchlauf: 6.092.791.808 Bytes frei
Nach Suchlauf: 6,143,422,464 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer
138 --- E O F --- 2009-01-14 21:39:33
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:20:04, on 05.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\ATK0100\HControl.exe C:\Programme\ATK Hotkey\MsgTranAgt.exe C:\Programme\ATKOSD2\ATKOSD2.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe" O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe" O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{42D8394F-9001-4113-9F3D-38D20E87CCB7}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9002C9BD-3646-4AD7-B9AF-0971B0F23B2B}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B88D512B-3D2E-42C1-AA40-2709A9C591CB}: NameServer = 192.168.1.1 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- End of file - 5113 bytes |
|
05.02.2009, 14:44
| #4 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hi, HJ-Log ist sauber, aber im combofix-Log gibt es das ein oder andere: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\R.COM
c:\windows\system32\T.COM
c:\windows\system32\eEmpty.exe
c:\windows\system32\vshost.exe <- kann auch unter c:\windows\ liegen...
chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
05.02.2009, 15:28
| #5 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Nun hab ich die vier Dateien überprüfen lassen. Alle ohne Befund: - R.com: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.05 -
AhnLab-V3 5.0.0.2 2009.02.05 -
AntiVir 7.9.0.74 2009.02.05 -
Authentium 5.1.0.4 2009.02.04 -
Avast 4.8.1281.0 2009.02.05 -
AVG 8.0.0.229 2009.02.04 -
BitDefender 7.2 2009.02.05 -
CAT-QuickHeal 10.00 2009.02.05 -
ClamAV 0.94.1 2009.02.05 -
Comodo 965 2009.02.05 -
DrWeb 4.44.0.09170 2009.02.05 -
eSafe 7.0.17.0 2009.02.04 -
eTrust-Vet 31.6.6343 2009.02.05 -
F-Prot 4.4.4.56 2009.02.04 -
F-Secure 8.0.14470.0 2009.02.05 -
Fortinet 3.117.0.0 2009.02.05 -
GData 19 2009.02.05 -
Ikarus T3.1.1.45.0 2009.02.05 -
K7AntiVirus 7.10.620 2009.02.05 -
Kaspersky 7.0.0.125 2009.02.05 -
McAfee 5516 2009.02.04 -
McAfee+Artemis 5516 2009.02.04 -
Microsoft 1.4306 2009.02.05 -
NOD32 3829 2009.02.05 -
Norman 6.00.02 2009.02.04 -
nProtect 2009.1.8.0 2009.02.05 -
Panda 9.5.1.2 2009.02.05 -
PCTools 4.4.2.0 2009.02.05 -
Prevx1 V2 2009.02.05 -
Rising 21.15.30.00 2009.02.05 -
SecureWeb-Gateway 6.7.6 2009.02.05 -
Sophos 4.38.0 2009.02.05 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.05 -
TheHacker 6.3.1.5.247 2009.02.05 -
TrendMicro 8.700.0.1004 2009.02.05 -
VBA32 3.12.8.12 2009.02.04 -
ViRobot 2009.2.5.1591 2009.02.05 -
VirusBuster 4.5.11.0 2009.02.04 -
weitere Informationen
File size: 153600 bytes
MD5...: ad9226bf3ced13636083bb9c76e9d2a2
SHA1..: 5192bd0e6cbbb4074172463804f8ffb0fab916e4
SHA256: 832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241
SHA512: 63d140f04ade495036de8168621832bb8c4ea7b17cf46df4fcbb756bcfc51290
7cdfcb9b872032a14e960ef6be98d6b8a73cb54a44ab5fcedb6f6a637dc8418e
ssdeep: 3072:xtkaZgxktEdSja2qLckP+4AnrIKvOBI+huG0TG0usp+d/Ad/AhZsJJE0kMJ
5VvlW:xtkqxrqLckP+xn0YOBI+AG0TG0tdm
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1691e
timedatestamp.....: 0x48025214 (Sun Apr 13 18:33:56 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17902 0x17a00 6.37 c955a3871382133757b77b2ef8713803
.data 0x19000 0x40da0 0x400 1.20 def7edb164ce2210badeb06959cdaa48
.rsrc 0x5a000 0xd510 0xd600 3.70 e285afbe730d03d7363a5527697d112a
( 14 imports )
> msvcrt.dll: __p__commode, _adjust_fdiv, __p__fmode, _initterm, __getmainargs, _acmdln, __set_app_type, _except_handler3, __setusermatherr, _controlfp, exit, _XcptFilter, _exit, _c_exit, swprintf, iswprint, wcsncpy, wcslen, wcscat, wcscpy, _purecall, iswctype, wcscmp, wcschr, wcsncmp, wcsrchr, _cexit, memmove
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, InitializeSecurityDescriptor, RegDeleteValueW, InitializeAcl, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetInheritanceSourceW, LookupAccountSidW, GetSidSubAuthorityCount, GetSidSubAuthority, GetSecurityDescriptorControl, GetSecurityDescriptorOwner, GetSecurityDescriptorGroup, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, SetSecurityInfo, SetNamedSecurityInfoW, GetNamedSecurityInfoW, MapGenericMask, RegSetValueExA, RegSetValueW, RegFlushKey, RegSaveKeyW, RegRestoreKeyW, RegConnectRegistryW, RegQueryValueExW, RegCloseKey, RegOpenKeyW, RegSetValueExW, RegCreateKeyW, RegEnumValueW, RegEnumKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, RegUnLoadKeyW, RegLoadKeyW, RegOpenKeyExW, RegQueryInfoKeyW, RegDeleteKeyW
> KERNEL32.dll: ReadFile, DeleteFileW, WriteFile, WideCharToMultiByte, CreateFileW, OutputDebugStringW, GetLastError, SetFilePointer, GetFileSize, SearchPathW, GetTimeFormatW, GetDateFormatW, GetSystemDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, FreeLibrary, LoadLibraryW, MulDiv, lstrcpynW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrcmpW, FormatMessageW, GetThreadLocale, GetModuleHandleW, ExitProcess, GetCommandLineW, GetProcessHeap, lstrcatW, LocalAlloc, GetCurrentProcess, CloseHandle, LocalFree, GetComputerNameW, lstrcmpiW, lstrlenW, lstrcpyW, LocalReAlloc, GlobalAlloc, GlobalLock, GlobalUnlock, GetProcAddress, LoadLibraryA
> GDI32.dll: GetStockObject, SetAbortProc, StartDocW, StartPage, SetViewportOrgEx, EndPage, EndDoc, AbortDoc, DeleteDC, CreateBitmap, CreatePatternBrush, PatBlt, ExcludeClipRect, SelectClipRgn, DeleteObject, SetBkColor, SetTextColor, ExtTextOutW, GetDeviceCaps, CreateFontIndirectW, SelectObject, GetTextMetricsW
> USER32.dll: SendDlgItemMessageW, SetDlgItemTextW, SetWindowLongW, DefWindowProcW, ReleaseDC, GetDC, SetScrollInfo, wsprintfW, DestroyCaret, ReleaseCapture, KillTimer, SetCaretPos, ScrollWindowEx, ShowCaret, HideCaret, InvalidateRect, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, GetClipboardData, WinHelpW, EndDialog, GetWindowLongW, EndPaint, BeginPaint, CreateCaret, SetTimer, SetCapture, SetFocus, CharLowerW, GetDlgItem, DestroyMenu, TrackPopupMenuEx, IsClipboardFormatAvailable, EnableMenuItem, GetSubMenu, LoadMenuW, GetKeyState, RegisterClassW, LoadCursorW, RegisterClipboardFormatW, CheckRadioButton, SendMessageW, GetWindowTextW, GetParent, GetDlgItemTextW, IsDlgButtonChecked, GetDlgCtrlID, CallWindowProcW, GetWindowTextLengthW, GetDlgItemInt, PostQuitMessage, GetWindowPlacement, SetWindowTextW, EnableWindow, GetWindowRect, DrawMenuBar, InsertMenuItemW, DeleteMenu, SetMenuItemInfoW, GetMenu, GetMenuItemInfoW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, IsIconic, DestroyIcon, LoadImageW, GetSysColor, SetCursor, ShowCursor, ShowWindow, SetWindowPlacement, CreateWindowExW, GetProcessDefaultLayout, GetMessageW, ScreenToClient, SetCursorPos, DispatchMessageW, ClientToScreen, GetDesktopWindow, LoadIconW, PostMessageW, SetMenuDefaultItem, InsertMenuW, GetMenuItemID, CheckMenuItem, UpdateWindow, RegisterClassExW, CharNextW, GetClientRect, DestroyWindow, CreateDialogParamW, CheckDlgButton, DrawAnimatedRects, IntersectRect, ModifyMenuW, GetMessagePos, TranslateMessage, TranslateAcceleratorW, LoadAcceleratorsW, SetForegroundWindow, GetLastActivePopup, BringWindowToTop, FindWindowW, LoadStringW, GetWindow, IsDialogMessageW, PeekMessageW, MessageBoxW, CharUpperBuffW, CharUpperW, IsCharAlphaNumericW, GetSystemMetrics, MoveWindow, MapWindowPoints, DialogBoxParamW, SetWindowPos, MessageBeep
> COMCTL32.dll: -, -, -, -, InitCommonControlsEx, -, -, ImageList_SetBkColor, ImageList_Create, ImageList_Destroy, -, -, ImageList_ReplaceIcon, -, -, -, -, CreateStatusWindowW
> comdlg32.dll: GetOpenFileNameW, GetSaveFileNameW, PrintDlgExW
> SHELL32.dll: ShellAboutW, DragQueryFileW, DragFinish
> AUTHZ.dll: AuthzInitializeContextFromSid, AuthzAccessCheck, AuthzFreeContext, AuthzFreeResourceManager, AuthzInitializeResourceManager
> ACLUI.dll: -
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx, ReleaseStgMedium
> ulib.dll: _Resize@DSTRING@@UAEEK@Z, _Initialize@ARRAY@@QAEEKK@Z, _NewBuf@DSTRING@@UAEEK@Z, __1DSTRING@@UAE@XZ, __1OBJECT@@UAE@XZ, __0OBJECT@@IAE@XZ, _Compare@OBJECT@@UBEJPBV1@@Z, __0DSTRING@@QAE@XZ, _Initialize@WSTRING@@QAEEPBV1@KK@Z, _Strcat@WSTRING@@QAEEPBV1@@Z, __0ARRAY@@QAE@XZ, _Initialize@WSTRING@@QAEEPBGK@Z
> clb.dll: ClbAddData, ClbSetColumnWidths
> ntdll.dll: RtlFreeHeap, RtlAllocateHeap
( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2</a>
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.05 -
AhnLab-V3 5.0.0.2 2009.02.05 -
AntiVir 7.9.0.74 2009.02.05 -
Authentium 5.1.0.4 2009.02.04 -
Avast 4.8.1281.0 2009.02.05 -
AVG 8.0.0.229 2009.02.04 -
BitDefender 7.2 2009.02.05 -
CAT-QuickHeal 10.00 2009.02.05 -
ClamAV 0.94.1 2009.02.05 -
Comodo 965 2009.02.05 -
DrWeb 4.44.0.09170 2009.02.05 -
eSafe 7.0.17.0 2009.02.04 -
eTrust-Vet 31.6.6343 2009.02.05 -
F-Prot 4.4.4.56 2009.02.04 -
F-Secure 8.0.14470.0 2009.02.05 -
Fortinet 3.117.0.0 2009.02.05 -
GData 19 2009.02.05 -
Ikarus T3.1.1.45.0 2009.02.05 -
K7AntiVirus 7.10.620 2009.02.05 -
Kaspersky 7.0.0.125 2009.02.05 -
McAfee 5516 2009.02.04 -
McAfee+Artemis 5516 2009.02.04 -
Microsoft 1.4306 2009.02.05 -
NOD32 3829 2009.02.05 -
Norman 6.00.02 2009.02.04 -
nProtect 2009.1.8.0 2009.02.05 -
Panda 9.5.1.2 2009.02.05 -
PCTools 4.4.2.0 2009.02.05 -
Prevx1 V2 2009.02.05 -
Rising 21.15.30.00 2009.02.05 -
SecureWeb-Gateway 6.7.6 2009.02.05 -
Sophos 4.38.0 2009.02.05 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.05 -
TheHacker 6.3.1.5.247 2009.02.05 -
TrendMicro 8.700.0.1004 2009.02.05 -
VBA32 3.12.8.12 2009.02.04 -
ViRobot 2009.2.5.1591 2009.02.05 -
VirusBuster 4.5.11.0 2009.02.04 -
weitere Informationen
File size: 153600 bytes
MD5...: ad9226bf3ced13636083bb9c76e9d2a2
SHA1..: 5192bd0e6cbbb4074172463804f8ffb0fab916e4
SHA256: 832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241
SHA512: 63d140f04ade495036de8168621832bb8c4ea7b17cf46df4fcbb756bcfc51290
7cdfcb9b872032a14e960ef6be98d6b8a73cb54a44ab5fcedb6f6a637dc8418e
ssdeep: 3072:xtkaZgxktEdSja2qLckP+4AnrIKvOBI+huG0TG0usp+d/Ad/AhZsJJE0kMJ
5VvlW:xtkqxrqLckP+xn0YOBI+AG0TG0tdm
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1691e
timedatestamp.....: 0x48025214 (Sun Apr 13 18:33:56 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17902 0x17a00 6.37 c955a3871382133757b77b2ef8713803
.data 0x19000 0x40da0 0x400 1.20 def7edb164ce2210badeb06959cdaa48
.rsrc 0x5a000 0xd510 0xd600 3.70 e285afbe730d03d7363a5527697d112a
( 14 imports )
> msvcrt.dll: __p__commode, _adjust_fdiv, __p__fmode, _initterm, __getmainargs, _acmdln, __set_app_type, _except_handler3, __setusermatherr, _controlfp, exit, _XcptFilter, _exit, _c_exit, swprintf, iswprint, wcsncpy, wcslen, wcscat, wcscpy, _purecall, iswctype, wcscmp, wcschr, wcsncmp, wcsrchr, _cexit, memmove
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, InitializeSecurityDescriptor, RegDeleteValueW, InitializeAcl, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetInheritanceSourceW, LookupAccountSidW, GetSidSubAuthorityCount, GetSidSubAuthority, GetSecurityDescriptorControl, GetSecurityDescriptorOwner, GetSecurityDescriptorGroup, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, SetSecurityInfo, SetNamedSecurityInfoW, GetNamedSecurityInfoW, MapGenericMask, RegSetValueExA, RegSetValueW, RegFlushKey, RegSaveKeyW, RegRestoreKeyW, RegConnectRegistryW, RegQueryValueExW, RegCloseKey, RegOpenKeyW, RegSetValueExW, RegCreateKeyW, RegEnumValueW, RegEnumKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, RegUnLoadKeyW, RegLoadKeyW, RegOpenKeyExW, RegQueryInfoKeyW, RegDeleteKeyW
> KERNEL32.dll: ReadFile, DeleteFileW, WriteFile, WideCharToMultiByte, CreateFileW, OutputDebugStringW, GetLastError, SetFilePointer, GetFileSize, SearchPathW, GetTimeFormatW, GetDateFormatW, GetSystemDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, FreeLibrary, LoadLibraryW, MulDiv, lstrcpynW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrcmpW, FormatMessageW, GetThreadLocale, GetModuleHandleW, ExitProcess, GetCommandLineW, GetProcessHeap, lstrcatW, LocalAlloc, GetCurrentProcess, CloseHandle, LocalFree, GetComputerNameW, lstrcmpiW, lstrlenW, lstrcpyW, LocalReAlloc, GlobalAlloc, GlobalLock, GlobalUnlock, GetProcAddress, LoadLibraryA
> GDI32.dll: GetStockObject, SetAbortProc, StartDocW, StartPage, SetViewportOrgEx, EndPage, EndDoc, AbortDoc, DeleteDC, CreateBitmap, CreatePatternBrush, PatBlt, ExcludeClipRect, SelectClipRgn, DeleteObject, SetBkColor, SetTextColor, ExtTextOutW, GetDeviceCaps, CreateFontIndirectW, SelectObject, GetTextMetricsW
> USER32.dll: SendDlgItemMessageW, SetDlgItemTextW, SetWindowLongW, DefWindowProcW, ReleaseDC, GetDC, SetScrollInfo, wsprintfW, DestroyCaret, ReleaseCapture, KillTimer, SetCaretPos, ScrollWindowEx, ShowCaret, HideCaret, InvalidateRect, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, GetClipboardData, WinHelpW, EndDialog, GetWindowLongW, EndPaint, BeginPaint, CreateCaret, SetTimer, SetCapture, SetFocus, CharLowerW, GetDlgItem, DestroyMenu, TrackPopupMenuEx, IsClipboardFormatAvailable, EnableMenuItem, GetSubMenu, LoadMenuW, GetKeyState, RegisterClassW, LoadCursorW, RegisterClipboardFormatW, CheckRadioButton, SendMessageW, GetWindowTextW, GetParent, GetDlgItemTextW, IsDlgButtonChecked, GetDlgCtrlID, CallWindowProcW, GetWindowTextLengthW, GetDlgItemInt, PostQuitMessage, GetWindowPlacement, SetWindowTextW, EnableWindow, GetWindowRect, DrawMenuBar, InsertMenuItemW, DeleteMenu, SetMenuItemInfoW, GetMenu, GetMenuItemInfoW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, IsIconic, DestroyIcon, LoadImageW, GetSysColor, SetCursor, ShowCursor, ShowWindow, SetWindowPlacement, CreateWindowExW, GetProcessDefaultLayout, GetMessageW, ScreenToClient, SetCursorPos, DispatchMessageW, ClientToScreen, GetDesktopWindow, LoadIconW, PostMessageW, SetMenuDefaultItem, InsertMenuW, GetMenuItemID, CheckMenuItem, UpdateWindow, RegisterClassExW, CharNextW, GetClientRect, DestroyWindow, CreateDialogParamW, CheckDlgButton, DrawAnimatedRects, IntersectRect, ModifyMenuW, GetMessagePos, TranslateMessage, TranslateAcceleratorW, LoadAcceleratorsW, SetForegroundWindow, GetLastActivePopup, BringWindowToTop, FindWindowW, LoadStringW, GetWindow, IsDialogMessageW, PeekMessageW, MessageBoxW, CharUpperBuffW, CharUpperW, IsCharAlphaNumericW, GetSystemMetrics, MoveWindow, MapWindowPoints, DialogBoxParamW, SetWindowPos, MessageBeep
> COMCTL32.dll: -, -, -, -, InitCommonControlsEx, -, -, ImageList_SetBkColor, ImageList_Create, ImageList_Destroy, -, -, ImageList_ReplaceIcon, -, -, -, -, CreateStatusWindowW
> comdlg32.dll: GetOpenFileNameW, GetSaveFileNameW, PrintDlgExW
> SHELL32.dll: ShellAboutW, DragQueryFileW, DragFinish
> AUTHZ.dll: AuthzInitializeContextFromSid, AuthzAccessCheck, AuthzFreeContext, AuthzFreeResourceManager, AuthzInitializeResourceManager
> ACLUI.dll: -
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx, ReleaseStgMedium
> ulib.dll: _Resize@DSTRING@@UAEEK@Z, _Initialize@ARRAY@@QAEEKK@Z, _NewBuf@DSTRING@@UAEEK@Z, __1DSTRING@@UAE@XZ, __1OBJECT@@UAE@XZ, __0OBJECT@@IAE@XZ, _Compare@OBJECT@@UBEJPBV1@@Z, __0DSTRING@@QAE@XZ, _Initialize@WSTRING@@QAEEPBV1@KK@Z, _Strcat@WSTRING@@QAEEPBV1@@Z, __0ARRAY@@QAE@XZ, _Initialize@WSTRING@@QAEEPBGK@Z
> clb.dll: ClbAddData, ClbSetColumnWidths
> ntdll.dll: RtlFreeHeap, RtlAllocateHeap
( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2</a>
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.04 -
AhnLab-V3 5.0.0.2 2009.02.04 -
AntiVir 7.9.0.74 2009.02.04 -
Authentium 5.1.0.4 2009.02.04 -
Avast 4.8.1281.0 2009.02.03 -
AVG 8.0.0.229 2009.02.04 -
BitDefender 7.2 2009.02.04 -
CAT-QuickHeal 10.00 2009.02.04 -
ClamAV 0.94.1 2009.02.04 -
Comodo 964 2009.02.04 -
DrWeb 4.44.0.09170 2009.02.04 -
eSafe 7.0.17.0 2009.02.04 -
eTrust-Vet 31.6.6341 2009.02.04 -
F-Prot 4.4.4.56 2009.02.04 -
F-Secure 8.0.14470.0 2009.02.04 -
Fortinet 3.117.0.0 2009.02.04 -
GData 19 2009.02.04 -
Ikarus T3.1.1.45.0 2009.02.04 -
K7AntiVirus 7.10.618 2009.02.04 -
Kaspersky 7.0.0.125 2009.02.04 -
McAfee 5515 2009.02.03 -
McAfee+Artemis 5515 2009.02.03 -
Microsoft 1.4306 2009.02.04 -
NOD32 3826 2009.02.04 -
Norman 6.00.02 2009.02.04 -
nProtect 2009.1.8.0 2009.02.04 -
Panda 9.5.1.2 2009.02.03 -
PCTools 4.4.2.0 2009.02.03 -
Prevx1 V2 2009.02.04 -
Rising 21.15.20.00 2009.02.04 -
SecureWeb-Gateway 6.7.6 2009.02.04 -
Sophos 4.38.0 2009.02.04 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.04 -
TheHacker 6.3.1.5.246 2009.02.04 -
TrendMicro 8.700.0.1004 2009.02.04 -
VBA32 3.12.8.12 2009.02.04 -
ViRobot 2009.2.4.1589 2009.02.04 -
VirusBuster 4.5.11.0 2009.02.04 -
weitere Informationen
File size: 28672 bytes
MD5...: 531c58770c9c4c5c8715dc141abd4ddd
SHA1..: 592520b5c123fb1a558d3aed687c12be1a19d973
SHA256: 8c61e30b251d4756a3081ef1b70f96c90ebe5713a9966dc20721af9c4165d1e9
SHA512: aa14c3c3a62e6f9df79b2e8dc4711fede8352dab092156ae8ffbde33803b413d
90ae3d05dd2164cf111d98f1f7d4c5dc6e1e3e63956cbdd8dc39143afd069aa0
ssdeep: 384:Wg0MvVx9fzmlXUBWEYHyyBYrh6oZqWtR:LfXKTHyY+h6on
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1010
timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84
.rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0
.data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4
.rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4
( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
( 0 exports )
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=531c58770c9c4c5c8715dc141abd4ddd
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.05 -
AhnLab-V3 5.0.0.2 2009.02.05 -
AntiVir 7.9.0.74 2009.02.05 -
Authentium 5.1.0.4 2009.02.04 -
Avast 4.8.1281.0 2009.02.05 -
AVG 8.0.0.229 2009.02.04 -
BitDefender 7.2 2009.02.05 -
CAT-QuickHeal 10.00 2009.02.05 -
ClamAV 0.94.1 2009.02.05 -
Comodo 965 2009.02.05 -
DrWeb 4.44.0.09170 2009.02.05 -
eSafe 7.0.17.0 2009.02.04 -
eTrust-Vet 31.6.6343 2009.02.05 -
F-Prot 4.4.4.56 2009.02.04 -
F-Secure 8.0.14470.0 2009.02.05 -
Fortinet 3.117.0.0 2009.02.05 -
GData 19 2009.02.05 -
Ikarus T3.1.1.45.0 2009.02.05 -
K7AntiVirus 7.10.620 2009.02.05 -
Kaspersky 7.0.0.125 2009.02.05 -
McAfee 5516 2009.02.04 -
McAfee+Artemis 5516 2009.02.04 -
Microsoft 1.4306 2009.02.05 -
NOD32 3829 2009.02.05 -
Norman 6.00.02 2009.02.04 -
nProtect 2009.1.8.0 2009.02.05 -
Panda 9.5.1.2 2009.02.05 -
PCTools 4.4.2.0 2009.02.05 -
Prevx1 V2 2009.02.05 -
Rising 21.15.30.00 2009.02.05 -
SecureWeb-Gateway 6.7.6 2009.02.05 -
Sophos 4.38.0 2009.02.05 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.05 -
TheHacker 6.3.1.5.247 2009.02.05 -
TrendMicro 8.700.0.1004 2009.02.05 -
VBA32 3.12.8.12 2009.02.04 -
ViRobot 2009.2.5.1591 2009.02.05 -
VirusBuster 4.5.11.0 2009.02.04 -
weitere Informationen
File size: 14336 bytes
MD5...: 4fbc75b74479c7a6f829e0ca19df3366
SHA1..: 97c7c354c12b89c797740b35ed81879be58f3deb
SHA256: a42568851b48fb9924b3fe18c8a0f3ceecd850254257cfe6c5f168c08f408ef0
SHA512: bc2d1f29a85285863f80aa5ccdf5bd4fa0b2ef58a3c3aa56a541e4227b87fb4a
da91930eead4ef4b7cd072100201361c84f34ed1dd78547a08f4ea5a56752202
ssdeep: 384:Wdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:KcG6xlCRaJKGOA7SHJ
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2509
timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653
.data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2
.rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882
( 4 imports )
> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW
> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook
> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid
> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening
( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4fbc75b74479c7a6f829e0ca19df3366' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4fbc75b74479c7a6f829e0ca19df3366</a>
Mir ist gerade aufgefallen, dass beim Anstöpseln des USB-Sticks, kein Autostart mit was-wollen-sie-tun-Menue mehr erscheint und dieser im Fenster ´Arbeitsplatz´ nicht als Wechseldatenträger sondern als Ordner angezeigt wird. Und beim direkten Doppelklick kommt die Fehlermeldung "vshost" konnte nicht gefunden werden... |
|
05.02.2009, 17:16
| #6 | |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hi, hmm, nicht gut... vshost.exe -> http://www.prevx.com/filenames/14990...HOST2EEXE.html oder machst Du etwas mit VisualStudio? Visual Studio Hosting Process -> vshost.exe Nun stellt sich die Frage, finden wir sie nicht weil ein Rootkit noch aktiv ist, oder weil sie schon runtergelöscht wurde? Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Das die keine Abfrage mehr kommt dürfte an der Immunisierung liegen, und das die vshost.exe nicht gefunden wird, dürfte an den Mountpoints liegen: Zitat:
http://forums.techguy.org/attachment...diagnostic.zip Auf den Desktop downloaden, auspacken und per Doppelklick starten. Es wird eine Datei Diagnostic.txt erstellt, die im Notepad angezeigt wird. Abkopieren und im Forum posten! chris Ps.: Bin morgen unterwegs und daher nicht erreichbar... Prüfe ob die vshost.exe unter c:\ liegt (C:\vshost.exe)
__________________ --> TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Geändert von Chris4You (05.02.2009 um 17:36 Uhr) |
|
05.02.2009, 18:11
| #7 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Direkt mach ich mit VS nichts. Ich wüßte auch kein Programm, was VS als Anwendung braucht und mitinstalliert hat. - Avira-Antirootkit hört augeblicklich nach dem Start auf und gibt 0 versteckte Dateien aus: ...und läßt sich gerade nicht ein weiteres Mal aufrufen... /edit: Code:
ATTFilter Avira AntiRootkit Tool - Beta (1.0.1.17)
========================================================================================================
- Scan started Donnerstag, 5. Februar 2009 - 18:14:02
========================================================================================================
--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 19.53 GB
- Working disk free size : 6.61 GB (33 %)
--------------------------------------------------------------------------------------------------------
Scan task finished. No hidden objects detected!
--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 0/0
Processes: 0/0
Scan time: 00:00:00
--------------------------------------------------------------------------------------------------------
Active processes:
========================================================================================================
- Scan finished Donnerstag, 5. Februar 2009 - 18:14:02
========================================================================================================
Code:
ATTFilter Diagnostic Report
05.02.2009 17:53:19,42
Mountpoints > Drives subkeys:
------------------------------------
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
5f,df,df,00,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,08,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
5f,df,df,00,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,08,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,03,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
5f,df,df,cf,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4234af68-48fe-11dd-944d-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
5f,df,df,01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,00,00,00
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,01,00,01,01,ee,5f,cf,cf,5f,5f,5f,5f,01,01,00,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,01,00,01,01,ee,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,01,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
5f,df,df,cf,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,02,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
5f,df,df,cf,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,09,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell]
@="AutoRun"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell\AutoRun]
@="Auto&Play"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\_Autorun]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\_Autorun\Action]
@="Open folder to view files"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\_Autorun\DefaultIcon]
@="H:\\%systemroot%\\SYSTEM32\\SHELL32.Dll,4"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,02,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
5f,df,df,00,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,08,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b0-3e48-11dd-8e9a-806d6172696f}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,cf,5f,5f,5f,5f,cf,cf,5f,5f,\
5f,cf,cf,cf,5f,5f,5f,cf,cf,cf,5f,5f,5f,cf,cf,cf,5f,5f,5f,cf,cf,cf,5f,5f,cf,\
5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,df,df,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,60,00,00,00,08,04,00,00
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}\_Autorun]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}\_Autorun\Action]
@="Open folder to view files"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}\_Autorun\DefaultIcon]
@="C:\\%systemroot%\\SYSTEM32\\SHELL32.Dll,4"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,01,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,01,01,01,\
ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell]
@="None"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
~~~~~~~~~~~~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell]
@="Open"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\AutoRun]
"Extended"=""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\AutoRun\command]
@="F:\\"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\open]
@="Explore"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\open\Command]
@="rundll32.exe .\\desktop.dll,InstallM"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\open\Default]
@="1"
~~~~~~~~~~~~~~~~~~~~~~~~~
No Autorun files found in C:\WINDOWS
No Autorun files found in C:\WINDOWS\system32
No Autorun files found in root of C:
No Autorun files found in root of D:
|
|
06.02.2009, 07:54
| #8 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hi, Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Code:
ATTFilter f26a669a-bcbb-4e37-abf9-7325da15f931
Notepad wird sich oeffnen - poste den text Bevor wir die Mountpoints rausnehmen, möchte ich wissen was es ist... Hat jetzt Avira scannen können oder nicht? Bin heute den ganzen Tag unterwegs, daher nicht erreichbar... (werden heute so knappe 1.000 km mit Auto werden...) chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
06.02.2009, 18:07
| #9 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Da wünsche ich Dir mal freie Strassen und ein gutes Durchkommen für deine Tour. - Avira-Antirootkit hat geklappt. Die Log ist im letzten Beitrag unter /edit: Mir ist nur aufgefallen, dass das Programm fast augenblicklich zu dem Ergebniss kommt. - Hier die Treffer von regsearch: Code:
ATTFilter REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "f26a669a-bcbb-4e37-abf9-7325da15f931" 06.02.2009 17:57:06
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f26a669a-bcbb-4e37-abf9-7325da15f931}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f26a669a-bcbb-4e37-abf9-7325da15f931}\InProcServer32]
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
|
|
09.02.2009, 09:44
| #10 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hi, Autostarteinträge reparieren: http://www.microsoft.com/downloads/details.aspx?familyid=C680A7B6-E8FA-45C4-A171-1B389CFACDAD&displaylang=en So, probieren wir mal Blacklight: http://virus-protect.org/artikel/tools/rootkithook.html Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
09.02.2009, 14:52
| #11 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Huhu, - die Autostarteinträge hat die Autofix repariert. Zum Schluss kam beim DVD-LW und USB-Stick allerdings die Fehlermeldung, dass Autoplay V2 nicht gefixt werden kann: Code:
ATTFilter AutoFix [V5.2.3790.67]
Time [2009-02-09 14:27:35]
Microsoft Windows Version [5.1 (Service Pack 3) <2600>]
Test [The Shell Hardware Detection service is running.] - Instance [N/A]:
Result [AutoStart Setting]: OK
Result [The Shell Hardware Detection service is running.]: OK
Test [Policies] - Instance [E:\, Drive Type: 5]:
Result [HKCU\...\Policies!NoDrives]: OK {Present}
Result [HKCU\...\Policies!NoDriveAutorun]: OK {Present}
Result [HKCU\...\Policies!NoDriveTypeAutorun]: OK {Present}
Result [HKLM\...\Policies!NoDrives]: OK {Present}
Result [HKLM\...\Policies!NoDriveAutorun]: OK {Present}
Result [HKLM\...\Policies!NoDriveTypeAutorun]: OK {Present}
Result [Driver level policies]: OK {
HKLM\...\Services\cdrom!Autorun (Present) <Allows>
HKLM\...\Services\cdrom\Parameters!Autorun (Absent) <Allows>
HKLM\System\CCS\Enum\...!AlwaysEnable (Absent) <Not set>
HKLM\System\CCS\Enum\...!AlwaysDisable (Absent) <Not set> }
Test [Drive Notification] - Instance [E:\, Drive Type: 5]:
Result [Legacy Notification]: OK
Result [AutoPlay V2 Notification]: Problems {
Service (Silent)
Shell (Deaf) }
>> Repair << [Autoplay V2 Event]
Step: No steps to take.
Result: This AutoPlay setting cannot be fixed. Either the device is malfunctioning, or the wizard cannot determine the problem.
>> Required action: The wizard found problems but cannot fix them -> None
Code:
ATTFilter 02/09/09 14:40:31 [Info]: BlackLight Engine 2.2.1092 initialized
02/09/09 14:40:31 [Info]: OS: 5.1 build 2600 (Service Pack 3)
02/09/09 14:40:31 [Note]: 7019 4
02/09/09 14:40:31 [Note]: 7005 0
02/09/09 14:40:46 [Note]: 7006 0
02/09/09 14:40:46 [Note]: 7011 2648
02/09/09 14:40:46 [Note]: 7035 0
02/09/09 14:40:46 [Note]: 7026 0
02/09/09 14:40:46 [Note]: 7026 0
02/09/09 14:40:47 [Note]: FSRAW library version 1.7.1024
02/09/09 14:47:48 [Note]: 7007 0
|
|
09.02.2009, 14:58
| #12 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hey! Ich habe genau dieselbe Symptomkonstellation wie du. Was ich bisher herausgefunden habe: Die Symbole im Arbeitsplatz sind umgeleitet auf eine Datei namens vshost.exe. Immer wenn du auf eine der Festplatten klickst fungiert der Prozess vshost.exe als Explorer (sieht genauso aus), aber macht mit Sicherheit irgendetwas anders, z.B. eben sich selbst nicht anzeigen. Auf meinen Festplattenbuchstaben C:/ D:/ und E:/ gab es jeweils die Datei X:/vshost.exe. Sehen konnte ich sie aber nicht. Ich konnte die Prozesse aber mit einem Tastmanager-Ersatz beenden (habe Daphne benutzt) und dann löschen lassen. Darauf bin ich heute morgen gestoßen. Das neuste Update von Avira AntiVir scheint diese Datei im Gegensatz zum gestrigen zu erkennen. Ich glaube aber nicht daran, dass das die ganze Geschichte ist. |
|
09.02.2009, 15:09
| #13 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Moin Brille - Fielmann MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/Geändert von nochdigger (09.02.2009 um 15:12 Uhr) Grund: Lesen vor dem posten |
|
09.02.2009, 17:03
| #14 |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hi, so jetzt bin ich am Ende von meinem Latein... Der Rechner scheint soweit sauber zu sein, allerdings sind Einstellungen verbogen worden... Wenn Du Dich mit Regedit auskennst, diesen Eintrag löschen: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell\AutoRun\command] System Reparieren: Vorher ggf. Backup machen Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... chris @nochdigger: Vielleicht fällt Dir noch was ein...
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
09.02.2009, 18:00
| #15 | |
| | TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt Hallo Ihr Zitat:
 (kann aber auch am Fieber liegen )In diesem Post scheint die vshost.exe direkt unter C:\ zu liegen, schau mal nach evtl- ist sie ja noch da. vladpuscasu[split] - Softpedia Forum bzw. direkt den Pfad bei Virustotal reinkopieren Code:
ATTFilter C:\vshost.exe
EDIT: hier handelt es sich wohl um den selben Freund http://www.trojaner-board.de/69491-t...der-buzus.html
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/Geändert von nochdigger (09.02.2009 um 18:20 Uhr) Grund: Link von john.doe hinzugefügt |
|
| Themen zu TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt |
| adobe, antivir, antivirus, avira, behandlung, bho, content.ie5, einstellungen, escan, explorer, hijack, hijackthis, infiziert, internet, internet explorer, log, logfile, notebook, pdf, plug-in, programme, starten, superantispyware, system, temp, tr/crypt.cfi.gen, trojaner, windows, windows xp |
Linear-Darstellung
