| |
| |||||||
Log-Analyse und Auswertung: REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.08.2009, 12:43
| #1 |
 |  REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe Hallo zusammen, Habe meinen PC Scannen lassen, und frage mich nun ob die Datein UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\twext.exe Viren oder trojaner sind ?? Die Datei habe ich nicht gefunden nur eine twext.dll Desweiteren habe ich im Task Mangaer 7* svchost.exe drin stehn, eine davon ist 31,456K groß ist das normal ?? und mit dem eintrag.: O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe kann ich nichts anfangen. Hier der log.: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 1:01:48 PM, on 8/13/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\WINXP\Mixer.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\TaskSwitchXP\TaskSwitchXP.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINXP\system32\PSIService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINXP\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe G:\-( Tools )-\virus\HJT.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\twext.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\RegistryBooster\RegistryBooster.exe /S O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINXP\system32\GameMon.des.exe (file missing) O23 - Service: ProtexisLicensing - Unknown owner - C:\WINXP\system32\PSIService.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe -- End of file Mfg Geändert von oOTopsyOo (13.08.2009 um 13:17 Uhr) |
|
13.08.2009, 13:48
| #2 | |||
| /// Helfer-Team    | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe Hallo und Herzlich Willkommen!
__________________ Zitat:
- wie hast Du sie beseitigt? Norton? oder... Zitat:
Code:
ATTFilter Prozess Name: Host Process for Services
Produkt: Windows
Firma: Microsoft
Datei: svchost.exe
"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden. Wichtig: Die Datei "svchost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei svchost.exe um einen Virus, Spyware, Trojaner oder Worm! Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden Zitat:
|
|
13.08.2009, 14:23
| #3 | |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe Danke für die schnelle Antwort
__________________Zitat:
Die Datei Userinit.exe ist allerdings vorhanden.. SDFix habe ich auch laufen lassen nach Anleitung, dieser hat mir dann noch 2 dateien entfernt.. Hier der log von SDFix.: Code:
ATTFilter SDFix: Version 1.240
Run by Administrator on 13.08.2009 at 14:32
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINXP\system32\twain_32\local.ds - Deleted
C:\WINXP\system32\twain_32\user.ds - Deleted
Folder C:\WINXP\system32\twain_32 - Removed
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 14:45:21
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:51,c2,10,32,1d,9d,bd,46,8c,f6,05,0b,2d,c3,28,1a,23,cb,26,b5,0a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:51,c2,10,32,1d,9d,bd,46,8c,f6,05,0b,2d,c3,28,1a,23,cb,26,b5,0a,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000169
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Program Files\\Sony\\EverQuest II (DE)\\EQ2VoiceService.exe"="E:\\Program Files\\Sony\\EverQuest II (DE)\\EQ2VoiceService.exe:*:Enabled:EQ2VoiceService"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Sat 4 Apr 2009 207 ...H. --- "C:\Boot.BAK"
Fri 1 May 2009 8,192 A.SHR --- "C:\BOOTSECT.BAK"
Thu 13 Aug 2009 848 A.SH. --- "C:\WINXP\system32\KGyGaAvL.sys"
Finished!
Die KGyGaAvL.sys Datei habe ich auch gekillt nachdem ich im Netz gelesen habe das sie schädlich ist. Aber fehlt halt noch der schlimme Backdoor kandidat twext.exe Mfg |
|
13.08.2009, 14:56
| #4 | |||
| /// Helfer-Team | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exeZitat:
warum hast Du sie gelöscht? ** Vorsicht!: - wenn man nie genau weiß, welche Auswirkungen eine unüberlegte Löschaktion hat? - Dateien, Programme usw, die Dir komisch vorkommen immer zuerst unter Eigenschaften nach Herkunft schauen, dann bei virustotal prüfen lassen um eine zweite Meinung einzuholen - danach bei Fachleuten erfragen! - Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedautet nicht, dass sie so harmlos sind, wie (oft) dargestellt wird Zitat:
die Eintrag userinit.exe ist Ok, voraussetzung befindet sich im System32 Ordner. "C:\Windows\userinit.exe" wäre ein Problem... C:\WINDOWS\system32\twext.exe" ist ein Trojaner wie ich oben beschrieben habe. "UserInit..." das heißt, die Datei wird bei jeder Anmeldung sofort geladen! Zitat:
Code:
ATTFilter twext.dll
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): sollte die Datei in ordnung sein - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw |
|
13.08.2009, 17:02
| #5 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe So.. Log von der Datei Userinit.exe (Da die Datei mit in der Zeile stand habe ich sie direkt mitgescannt) wurde als win32.Banker erkannt. Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.13 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1965 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 Win32.Banker
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.13 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4332 2009.08.13 -
Norman 6.01.09 2009.08.13 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.34.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.13 -
weitere Informationen
File size: 26624 bytes
MD5...: 788f95312e26389d596c0fa55834e106
SHA1..: 82189a1477487e7f679c4fa5cb19b1b74d9b73ac
SHA256: f7090c739cfc4aa6280bfedc1551118f05a098b0ad71bb9541e21e6fdfed3040
ssdeep: 768:riBJi8jDLIDSAaQFxfftjaLacmkLGKO4Ru8Zk:rmJbDMDSA7FxffJaLaSLG7
408Zk
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x54ad
timedatestamp.....: 0x480251a8 (Sun Apr 13 18:32:08 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x520e 0x5400 5.95 289d6a5513176f26e7a7128ce7de1dc1
.data 0x7000 0x14c 0x200 1.86 0bb948f267e82975313a03d8c0e8a1cf
.rsrc 0x8000 0xcd0 0xe00 3.78 ca6ef217502d20513696667bd5be08c3
( 9 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, RtlConvertSidToUnicodeString, NtQueryInformationToken
> NETAPI32.dll: DsGetDcNameW, NetApiBufferFree
> WLDAP32.dll: -, -, -, -, -, -
> msvcrt.dll: __setusermatherr, _initterm, __getmainargs, _acmdln, _adjust_fdiv, _XcptFilter, _exit, _c_exit, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _cexit, exit
> KERNEL32.dll: CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, CreateProcessW, lstrlenW, GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, ExpandEnvironmentStringsW, SearchPathW, GetLastError, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, SetEvent, OpenEventW, Sleep, SetEnvironmentVariableW
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Log von der Datei twext.dll Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.13 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1965 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.13 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.13 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4332 2009.08.13 -
Norman 6.01.09 2009.08.13 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.34.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.13 -
weitere Informationen
File size: 57856 bytes
MD5...: 632a666d9cdf23641c47c0c6f0f70978
SHA1..: 4140347af73808f6c9e91cdc6f3146743dc673a9
SHA256: 9f356dfc6ca75c546ef9642f6bd087fec988ee1e62ea853626eca2a63d5cdabe
ssdeep: 768:svfS3EsAa/Qc+Au6DL0zB7UkLTeCxD1LlVAg6T1o8AdwUREH2EYON:svgEmY
c75EXZ1LlWg6T8BWH2Eb
PEiD..: -
TrID..: File type identification
DirectShow filter (65.5%)
Win64 Executable Generic (27.8%)
Win32 Executable Generic (2.7%)
Win32 Dynamic Link Library (generic) (2.4%)
Generic Win/DOS Executable (0.6%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x46a4
timedatestamp.....: 0x4802bfd0 (Mon Apr 14 02:22:08 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb712 0xb800 6.52 25ee32f4e2c11874e535285b7173d34a
.data 0xd000 0x394 0x400 1.86 70ea386203e5fbf2865f14fdce9cb567
.rsrc 0xe000 0xfc0 0x1000 5.52 6d4ccb03572fdd6848bb0a71835e65c1
.reloc 0xf000 0x1086 0x1200 4.02 504c1239dcf48c5fee5f564ee362560d
( 6 imports )
> ntdll.dll: RtlUnwind, NtQueryVirtualMemory, wcsrchr, _wcsicmp, wcscmp, iswalpha, _wcsnicmp, wcschr, wcslen, memmove, wcsstr, RtlTimeFieldsToTime, RtlNtStatusToDosError, NtCreateEvent, NtFsControlFile, NtWaitForSingleObject, NtClose, _vsnwprintf
> KERNEL32.dll: GlobalLock, GlobalUnlock, LocalAlloc, LocalFree, GetLastError, CreateFileW, lstrlenW, GetVolumePathNameW, lstrcmpiW, GetFileAttributesExW, CompareFileTime, CloseHandle, InterlockedIncrement, InterlockedDecrement, FreeLibrary, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls, lstrcpynW, LoadLibraryExA, InitializeCriticalSection, DeleteCriticalSection, CompareStringW, LeaveCriticalSection, GetTickCount, EnterCriticalSection, GetFileAttributesW, RemoveDirectoryW, WaitForSingleObject, CreateThread, LockResource, LoadResource, FindResourceW, FormatMessageW, GetComputerNameW, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleFileNameW, GetWindowsDirectoryW, GetModuleHandleW, DelayLoadFailureHook, GetCurrentProcessId
> USER32.dll: DeleteMenu, GetMenuItemCount, RegisterClipboardFormatW, SetMenuItemInfoW, GetMenuItemInfoW, MoveWindow, GetClientRect, GetWindowLongW, SetWindowLongW, WinHelpW, LoadIconW, SendDlgItemMessageW, LoadCursorW, SetCursor, GetFocus, SetFocus, EnableWindow, LoadStringW, SetWindowTextW, SendMessageW, GetDlgItem, GetWindowRect, MapWindowPoints
> SHELL32.dll: -, -, -, -, -, -, ShellExecuteExW, -, -, -, -, -, -, -, SHFileOperationW, SHGetFolderLocation, SHGetSpecialFolderLocation, SHBindToParent, -, SHParseDisplayName, -, SHBrowseForFolderW, -, -, SHChangeNotify, -, -, SHGetDesktopFolder
> SHLWAPI.dll: -, -, StrCpyNW, StrChrW, -, -, -, StrRetToBufW, StrCmpIW, AssocCreate, PathAppendW, StrDupW, PathIsUNCServerW, PathIsNetworkPathW, PathRemoveBackslashW, PathIsRootW, PathFindFileNameW, -, PathIsUNCW, SHStrDupW, -, -, -, -, StrRetToStrW, -
> ACTIVEDS.dll: -
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
-
|
|
13.08.2009, 17:06
| #6 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe Filelist: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk G: hat keine Bezeichnung.
Volumeseriennummer: 481A-9504
Verzeichnis von G:\-( Tools )-\virus\filelist
11/08/2006 08:21 PM 2,270 filelist.bat
1 Datei(en) 2,270 Bytes
0 Verzeichnis(se), 126,196,334,592 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4ED-2FD5
Verzeichnis von C:\WINXP
08/13/2009 02:51 PM 1,912,398 WindowsUpdate.log
08/13/2009 02:50 PM 0 0.log
08/13/2009 02:50 PM 2,048 bootstat.dat
08/13/2009 02:48 PM 32,412 SchedLgU.Txt
08/13/2009 02:31 PM 118,140 ntbtlog.txt
08/13/2009 02:25 PM 50 wiaservc.log
08/13/2009 02:25 PM 215 wiadebug.log
08/13/2009 11:52 AM 899,754 setupapi.log
08/13/2009 10:12 AM 0 vpc32.INI
08/13/2009 09:15 AM 14,851 spupdsvc.log
08/13/2009 08:35 AM 349,986 iis6.log
08/13/2009 08:35 AM 140,640 tsoc.log
08/13/2009 08:35 AM 64,756 ntdtcsetup.log
08/13/2009 08:35 AM 15,558 tabletoc.log
08/13/2009 08:35 AM 16,617 ocmsn.log
08/13/2009 08:35 AM 1,374 imsins.log
08/13/2009 08:35 AM 109,494 comsetup.log
08/13/2009 08:35 AM 15,671 KB960859.log
08/13/2009 08:35 AM 52,608 netfxocm.log
08/13/2009 08:35 AM 21,037 MedCtrOC.log
08/13/2009 08:35 AM 170,849 ocgen.log
08/13/2009 08:35 AM 14,947 msgsocm.log
08/13/2009 08:35 AM 295,784 FaxSetup.log
08/13/2009 08:35 AM 95,120 msmqinst.log
08/13/2009 08:35 AM 1,374 imsins.BAK
08/13/2009 08:35 AM 15,618 KB971657.log
08/13/2009 08:35 AM 15,127 KB971557.log
08/13/2009 08:35 AM 10,725 KB956744.log
08/13/2009 08:34 AM 10,343 KB973869.log
08/13/2009 08:34 AM 15,245 KB973507.log
08/13/2009 08:34 AM 68,559 updspapi.log
08/13/2009 08:34 AM 9,946 KB973354.log
08/13/2009 08:34 AM 9,728 KB973540.log
08/13/2009 08:34 AM 8,298 wmsetup.log
08/13/2009 08:32 AM 14,887 KB973815.log
08/13/2009 08:32 AM 18,611 KB968389.log
07/28/2009 09:19 PM 12,942 KB972260-IE8.log
07/28/2009 05:29 PM 17,047 KB971633.log
07/28/2009 05:29 PM 12,195 KB973346.log
07/28/2009 05:28 PM 17,815 KB961371.log
07/19/2009 09:05 PM 101 CMMIXER.INI
07/16/2009 12:26 AM 46,857 ie8_main.log
07/16/2009 12:26 AM 74,192 KB971930-IE8.log
07/16/2009 12:26 AM 88,624 KB969897-IE8.log
07/16/2009 12:26 AM 84,193 ie8.log
06/25/2009 10:20 AM 820 setupact.log
06/19/2009 03:00 AM 307,892 msxml4-KB954430-enu.LOG
06/17/2009 09:53 AM 18,333 atiogl.xml
06/12/2009 12:17 PM 3,800 Ascd_tmp.ini
06/11/2009 09:47 AM 19,245 KB961501.log
06/11/2009 09:47 AM 13,832 KB969898.log
06/11/2009 09:45 AM 19,058 KB970238.log
06/11/2009 09:45 AM 92,869 KB969897-IE7.log
06/11/2009 09:45 AM 14,904 KB968537.log
06/03/2009 03:00 AM 4,933 KB961118.log
05/31/2009 09:45 AM 2,850 regopt.log
05/20/2009 07:28 AM 592 chgkey.vbs
05/20/2009 06:47 AM 853,840 setuplog.txt
05/06/2009 02:03 PM 555 win.ini
05/02/2009 11:30 AM 25 mixerdef.ini
05/01/2009 07:04 PM 199 CMISETUP.INI
05/01/2009 07:04 PM 26 CMCDPLAY.INI
05/01/2009 01:12 PM 1,890 diagwrn.xml
05/01/2009 01:12 PM 1,890 diagerr.xml
05/01/2009 01:12 PM 0 setuperr.log
05/01/2009 12:59 PM 740 chipset.log
04/30/2009 05:17 PM 187 spupdsvc.log.1.log
04/30/2009 09:30 AM 14,370 WgaNotify.log
04/23/2009 10:54 AM 329 nsw.log
04/19/2009 02:44 PM 131,396 KB963027-IE7.log
04/19/2009 02:34 PM 788 KB963027.log
04/19/2009 02:33 PM 31,344 KB961373.log
04/19/2009 02:33 PM 19,653 KB923561.log
04/17/2009 03:05 AM 27,511 KB959426.log
04/17/2009 03:01 AM 15,585 KB956572.log
04/17/2009 03:01 AM 15,492 KB952004.log
04/17/2009 03:01 AM 13,146 KB960803.log
04/05/2009 12:33 AM 34,858 KB955839.log
04/05/2009 12:33 AM 19,487 KB960225.log
04/05/2009 12:33 AM 15,065 KB957097.log
04/05/2009 12:32 AM 14,358 KB960715.log
04/05/2009 12:32 AM 13,746 KB958687.log
04/05/2009 12:32 AM 19,211 KB967715.log
04/05/2009 12:32 AM 20,138 KB958690.log
04/05/2009 12:32 AM 11,624 KB959772.log
04/05/2009 12:31 AM 17,926 KB954459.log
04/05/2009 12:31 AM 18,136 KB952069.log
04/05/2009 12:31 AM 19,319 KB961260-IE7.log
04/05/2009 12:31 AM 8,164 KB954600.log
04/05/2009 12:30 AM 8,486 KB958644.log
04/05/2009 12:30 AM 7,981 KB955069.log
04/05/2009 12:30 AM 11,956 KB956802.log
04/04/2009 11:44 PM 0 nsreg.dat
04/04/2009 11:30 PM 151,526 DirectX.log
04/04/2009 11:25 PM 1,328 KB893803v2.log
04/04/2009 11:22 PM 0 ativpsrm.bin
04/04/2009 11:19 PM 12,468 ydi.log
04/04/2009 11:17 PM 0 Sti_Trace.log
04/04/2009 11:14 PM 231 system.ini
04/04/2009 10:31 PM 829 OEWABLog.txt
04/04/2009 10:30 PM 8,192 REGLOCS.OLD
04/04/2009 10:27 PM 8,315 KB956391.log
04/04/2009 10:27 PM 17,698 KB956390-IE7.log
04/04/2009 10:24 PM 5,853 KB954154.log
04/04/2009 10:24 PM 7,617 KB938127-v2-IE7.log
04/04/2009 10:24 PM 7,571 KB946648.log
04/04/2009 10:24 PM 16,959 KB953838-IE7.log
04/04/2009 10:24 PM 6,885 KB953839.log
04/04/2009 10:24 PM 16,288 KB950759-IE7.log
04/04/2009 10:24 PM 8,451 KB898461.log
04/04/2009 10:23 PM 7,402 KB941569.log
04/04/2009 10:23 PM 991 KB942763.log
04/04/2009 10:23 PM 6,829 KB950760.log
04/04/2009 10:23 PM 7,029 KB950762.log
04/04/2009 10:23 PM 7,531 KB951376-v2.log
04/04/2009 10:23 PM 7,141 KB951698.log
04/04/2009 10:23 PM 8,239 KB951748.log
04/04/2009 10:23 PM 9,152 KB951978.log
04/04/2009 10:23 PM 0 control.ini
04/04/2009 10:22 PM 316,640 WMSysPr9.prx
04/04/2009 10:22 PM 4,073 ODBCINST.INI
04/04/2009 10:20 PM 749 WindowsShell.Manifest
04/04/2009 10:19 PM 1,023 sessmgr.setup.log
04/04/2009 10:18 PM 36 vb.ini
04/04/2009 10:18 PM 37 vbaddin.ini
04/04/2009 10:18 PM 130 DtcInstall.log
04/04/2009 10:17 PM 200 cmsetacl.log
172 Datei(en) 16,438,728 Bytes
0 Verzeichnis(se), 36,447,506,432 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4ED-2FD5
Verzeichnis von C:\WINXP\system
47 Datei(en) 6,329,250 Bytes
0 Verzeichnis(se), 36,447,506,432 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4ED-2FD5
Verzeichnis von C:\WINXP\system32
08/13/2009 09:14 AM 2,300 wpa.dbl
08/08/2009 08:28 PM 3,745 jupdate-1.6.0_15-b03.log
08/08/2009 05:37 AM 18,349 CCCInstall_200908080537421250.log
08/05/2009 10:59 AM 206,336 mswebdvd.dll
07/30/2009 02:49 AM 24,281,536 MRT.exe
07/25/2009 05:23 AM 145,184 javaw.exe
07/25/2009 05:23 AM 149,280 javaws.exe
07/25/2009 05:23 AM 145,184 java.exe
07/25/2009 05:23 AM 411,368 deploytk.dll
07/25/2009 03:00 AM 73,728 javacpl.cpl
07/19/2009 06:48 PM 11,067,392 ieframe.dll
07/19/2009 03:18 PM 5,937,152 mshtml.dll
07/17/2009 09:01 PM 58,880 atl.dll
07/13/2009 11:43 PM 10,841,088 wmp.dll
07/13/2009 11:43 PM 286,208 wmpdxm.dll
07/03/2009 07:09 PM 915,456 wininet.dll
07/03/2009 07:09 PM 1,208,832 urlmon.dll
07/03/2009 07:09 PM 206,848 occache.dll
07/03/2009 07:09 PM 55,296 msfeedsbs.dll
07/03/2009 07:09 PM 594,432 msfeeds.dll
07/03/2009 07:09 PM 1,985,536 iertutil.dll
07/03/2009 07:09 PM 25,600 jsproxy.dll
07/03/2009 07:09 PM 1,469,440 inetcpl.cpl
07/03/2009 07:09 PM 184,320 iepeers.dll
07/03/2009 07:09 PM 386,048 iedkcs32.dll
07/03/2009 01:01 PM 173,056 ie4uinit.exe
07/02/2009 07:25 PM 442,368 ATIDEMGX.dll
07/02/2009 07:24 PM 335,872 ati2dvag.dll
07/02/2009 07:07 PM 311,296 atiiiexx.dll
07/02/2009 07:06 PM 204,800 atipdlxx.dll
07/02/2009 07:05 PM 155,648 Oemdspif.dll
07/02/2009 07:05 PM 26,112 Ati2mdxx.exe
07/02/2009 07:05 PM 43,520 ati2edxx.dll
07/02/2009 07:05 PM 155,648 ati2evxx.dll
07/02/2009 07:04 PM 602,112 ati2evxx.exe
07/02/2009 07:02 PM 53,248 ATIDDC.DLL
07/02/2009 06:56 PM 3,014,272 ati3duag.dll
07/02/2009 06:54 PM 11,698,176 atioglxx.dll
07/02/2009 06:44 PM 2,139,904 ativvaxx.dll
07/02/2009 06:44 PM 219,120 ativvaxx.cap
07/02/2009 06:44 PM 887,724 ativva6x.dat
07/02/2009 06:44 PM 3 ativva5x.dat
07/02/2009 06:31 PM 49,664 amdpcom32.dll
07/02/2009 06:31 PM 49,664 atimpc32.dll
07/02/2009 06:28 PM 487,424 atikvmag.dll
07/02/2009 06:27 PM 45,056 aticalrt.dll
07/02/2009 06:26 PM 45,056 aticalcl.dll
07/02/2009 06:26 PM 151,552 atiadlxx.dll
07/02/2009 06:26 PM 17,408 atitvo32.dll
07/02/2009 06:25 PM 3,248,128 aticaldd.dll
07/02/2009 06:24 PM 376,832 atiok3x2.dll
07/02/2009 06:20 PM 651,264 ati2cqag.dll
07/02/2009 12:12 PM 593,920 ati2sgag.exe
06/29/2009 10:40 AM 57,667 ieuinit.inf
06/26/2009 11:41 AM 737,792 lsasrv.dll
06/25/2009 10:41 AM 147,456 schannel.dll
06/25/2009 10:41 AM 56,832 secur32.dll
06/25/2009 10:41 AM 136,704 msv1_0.dll
06/25/2009 10:41 AM 54,272 wdigest.dll
06/25/2009 10:41 AM 301,568 kerberos.dll
06/18/2009 09:29 PM 197,654 atiicdxx.dat
06/16/2009 04:36 PM 81,920 fontsub.dll
06/16/2009 04:36 PM 119,808 t2embed.dll
06/15/2009 12:43 PM 78,848 telnet.exe
06/15/2009 12:43 PM 82,944 tlntsess.exe
06/11/2009 09:52 AM 161,936 FNTCACHE.DAT
06/11/2009 08:14 AM 3,953 jupdate-1.6.0_14-b08.log
06/10/2009 04:13 PM 85,504 avifil32.dll
06/10/2009 09:19 AM 2,066,432 mstscax.dll
06/10/2009 08:14 AM 132,096 wkssvc.dll
06/03/2009 09:09 PM 1,296,896 quartz.dll
06/02/2009 07:28 AM 68,332 perfc009.dat
06/02/2009 07:28 AM 435,416 perfh009.dat
06/02/2009 07:28 AM 448,470 perfh007.dat
06/02/2009 07:28 AM 79,910 perfc007.dat
06/02/2009 07:28 AM 1,046,422 PerfStringBackup.INI
06/01/2009 08:48 AM 15,688 lsdelete.exe
05/27/2009 09:33 PM 4,096 crash
05/24/2009 10:38 AM 81,984 bdod.bin
05/20/2009 06:49 AM 34,308 BASSMOD.dll
05/20/2009 06:43 AM 4,444 pid.PNF
05/19/2009 03:40 AM 96 HsInfo.dat
05/17/2009 04:17 AM 36,864 ctfmon.exe
05/14/2009 07:57 PM 18,620 CCCInstall_200905141957142656.log
05/11/2009 11:35 PM 118,784 atibtmon.exe
05/07/2009 05:32 PM 348,160 localspl.dll
05/06/2009 01:58 PM 36,864 DivXAF.ax
05/04/2009 01:55 PM 2,368 SVKP.sys
05/01/2009 11:02 PM 823,296 divx_xx07.dll
05/01/2009 11:02 PM 685,056 DivX.dll
05/01/2009 11:02 PM 823,296 divx_xx0c.dll
05/01/2009 11:02 PM 811,008 divx_xx16.dll
05/01/2009 11:02 PM 802,816 divx_xx11.dll
05/01/2009 11:02 PM 815,104 divx_xx0a.dll
04/29/2009 06:41 AM 133,120 extmgr.dll
04/29/2009 05:09 AM 562 BDUpdateV1.xml
04/19/2009 09:39 PM 1,847,936 win32k.sys
04/16/2009 09:16 AM 850 ProductTweaks.xml
04/16/2009 09:16 AM 385 user_gensett.xml
04/15/2009 04:51 PM 585,216 rpcrt4.dll
04/15/2009 01:15 AM 2,722,845 GameMon.des
04/06/2009 11:33 AM 18,325 CCCInstall_200904061403531406.log
04/05/2009 12:33 AM 211,910 TZLog.log
04/04/2009 11:50 PM 4,862 jupdate-1.6.0_13-b03.log
04/04/2009 11:17 PM 0 h323log.txt
04/04/2009 11:04 PM 34,064 lhacm.acm
04/04/2009 10:29 PM 1,130 $winnt$.inf
04/04/2009 10:23 PM 2,951 CONFIG.NT
04/04/2009 10:23 PM 16,832 amcompat.tlb
04/04/2009 10:23 PM 23,392 nscompat.tlb
04/04/2009 10:20 PM 488 logonui.exe.manifest
04/04/2009 10:20 PM 488 WindowsLogon.manifest
04/04/2009 10:20 PM 749 sapi.cpl.manifest
04/04/2009 10:20 PM 749 nwc.cpl.manifest
04/04/2009 10:20 PM 749 wuaucpl.cpl.manifest
04/04/2009 10:20 PM 749 ncpa.cpl.manifest
04/04/2009 10:20 PM 749 cdplayer.exe.manifest
04/04/2009 10:19 PM 21,740 emptyregdb.dat
03/21/2009 04:06 PM 1,063,424 kernel32.dll
03/16/2009 11:48 AM 235,352 xactengine3_4.dll
03/16/2009 11:48 AM 69,448 XAPOFX1_3.dll
03/16/2009 11:48 AM 22,360 X3DAudio1_6.dll
03/16/2009 11:48 AM 517,448 XAudio2_4.dll
03/10/2009 10:18 PM 1,482,112 LegitCheckControl.dll
03/10/2009 10:18 PM 970,632 WgaTray.exe
03/10/2009 10:18 PM 265,096 WgaLogon.dll
03/09/2009 12:57 PM 1,846,632 D3DCompiler_41.dll
03/09/2009 12:57 PM 453,456 d3dx10_41.dll
03/09/2009 12:57 PM 4,178,264 D3DX9_41.dll
03/08/2009 02:29 PM 1,302,528 ieframe.dll.mui
03/08/2009 02:29 PM 57,344 msrating.dll.mui
03/08/2009 02:28 PM 2,560 mshta.exe.mui
03/08/2009 02:27 PM 4,096 ie4uinit.exe.mui
03/08/2009 02:27 PM 12,288 advpack.dll.mui
03/08/2009 02:27 PM 81,920 iedkcs32.dll.mui
03/08/2009 04:35 AM 385,024 html.iec
03/08/2009 04:34 AM 236,544 webcheck.dll
03/08/2009 04:34 AM 208,384 WinFXDocObj.exe
03/08/2009 04:34 AM 43,008 licmgr10.dll
03/08/2009 04:34 AM 105,984 url.dll
03/08/2009 04:34 AM 193,536 msrating.dll
03/08/2009 04:33 AM 18,944 corpol.dll
03/08/2009 04:33 AM 726,528 jscript.dll
03/08/2009 04:33 AM 229,376 ieaksie.dll
03/08/2009 04:33 AM 420,352 vbscript.dll
03/08/2009 04:33 AM 125,952 ieakeng.dll
03/08/2009 04:32 AM 72,704 admparse.dll
03/08/2009 04:32 AM 36,864 ieudinit.exe
03/08/2009 04:32 AM 163,840 ieakui.dll
03/08/2009 04:32 AM 55,808 iernonce.dll
03/08/2009 04:32 AM 71,680 iesetup.dll
03/08/2009 04:32 AM 128,512 advpack.dll
03/08/2009 04:32 AM 94,720 inseng.dll
03/08/2009 04:32 AM 611,840 mstime.dll
03/08/2009 04:31 AM 13,312 msfeedssync.exe
03/08/2009 04:31 AM 59,904 icardie.dll
03/08/2009 04:31 AM 348,160 dxtmsft.dll
03/08/2009 04:31 AM 216,064 dxtrans.dll
03/08/2009 04:31 AM 34,816 imgutil.dll
03/08/2009 04:31 AM 46,592 pngfilt.dll
03/08/2009 04:31 AM 66,560 mshtmled.dll
03/08/2009 04:31 AM 48,128 mshtmler.dll
03/08/2009 04:31 AM 45,568 mshta.exe
03/08/2009 04:31 AM 1,638,912 mshtml.tlb
03/08/2009 04:30 AM 66,560 tdc.ocx
03/08/2009 04:22 AM 164,352 ieui.dll
03/08/2009 04:22 AM 156,160 msls31.dll
03/08/2009 04:11 AM 445,952 ieapfltr.dll
03/06/2009 03:50 PM 286,720 pdh.dll
03/06/2009 11:24 AM 180,224 Ncs2Setp.dll
03/04/2009 01:12 PM 760,368 ncs2dmix.dll
03/04/2009 01:11 PM 530,992 accesor.dll
03/04/2009 12:56 PM 141,872 ncs2instutility.dll
03/04/2009 12:47 PM 1,522,224 ncscolib.dll
02/24/2009 09:34 PM 90,112 dpl100.dll
02/18/2009 07:55 PM 294,912 ATIODE.exe
02/13/2009 10:53 AM 256,640 Prounstl.exe
02/12/2009 10:20 PM 6,873 IE8Eula.rtf
02/10/2009 07:24 PM 678,400 advapi32.dll
02/09/2009 01:14 PM 2,026,496 ntkrnlpa.exe
02/09/2009 01:14 PM 2,147,840 ntoskrnl.exe
02/09/2009 01:14 PM 111,104 services.exe
02/09/2009 12:54 PM 401,408 rpcss.dll
02/09/2009 12:54 PM 740,864 ntdll.dll
02/06/2009 09:07 PM 3,698,584 ieapfltr.dat
02/06/2009 12:36 PM 35,328 sc.exe
02/03/2009 10:52 PM 45,056 ATIODCLI.exe
01/30/2009 03:56 PM 236,120 PRONtObj.dll
01/07/2009 06:21 PM 121,856 xmllite.dll
01/07/2009 06:20 PM 24,576 nlsdl.dll
01/07/2009 06:20 PM 60,294 normnfkd.nls
01/07/2009 06:20 PM 23,552 normaliz.dll
01/07/2009 06:20 PM 66,384 normnfkc.nls
01/07/2009 06:20 PM 39,284 normnfd.nls
01/07/2009 06:20 PM 45,794 normnfc.nls
01/07/2009 06:20 PM 26,112 idndl.dll
01/07/2009 06:20 PM 59,342 normidna.nls
01/07/2009 06:20 PM 26,144 spupdsvc.exe
01/07/2009 06:20 PM 18,464 spmsg.dll
01/07/2009 06:20 PM 8,798 icrav03.rat
01/07/2009 06:20 PM 265,720 msdbg2.dll
2338 Datei(en) 618,699,574 Bytes
0 Verzeichnis(se), 36,447,326,208 Bytes frei
|
|
13.08.2009, 17:08
| #7 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exeCode:
ATTFilter ----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4ED-2FD5
Verzeichnis von C:\WINXP\Prefetch
08/13/2009 04:11 PM 23,514 CMD.EXE-2AAB9DAB.pf
08/13/2009 04:11 PM 150,940 WINRAR.EXE-3588DFE8.pf
08/13/2009 04:10 PM 41,014 VERCLSID.EXE-1C385444.pf
08/13/2009 04:09 PM 60,262 NOTEPAD.EXE-0815DEA3.pf
08/13/2009 04:01 PM 8,234 JQSNOTIFY.EXE-1E60A522.pf
08/13/2009 03:22 PM 40,186 GOOGLEUPDATE.EXE-187AE91D.pf
08/13/2009 03:05 PM 17,800 DIVXVERSIONCHECKER.EXE-109B55D3.pf
08/13/2009 03:05 PM 71,400 DIVX PLAYER.EXE-0459E47A.pf
08/13/2009 02:53 PM 65,542 FIREFOX.EXE-1D57670A.pf
08/13/2009 02:51 PM 39,498 WUAUCLT.EXE-13B6AD34.pf
08/13/2009 02:51 PM 21,316 AAWTRAY.EXE-31E33C30.pf
08/13/2009 02:51 PM 37,052 WMIPRVSE.EXE-2F9046ED.pf
08/13/2009 02:51 PM 42,146 UNSECAPP.EXE-393743F4.pf
08/13/2009 02:51 PM 47,318 WSCNTFY.EXE-322C45BB.pf
08/13/2009 02:51 PM 25,496 WMIAPSRV.EXE-24BFB5E9.pf
08/13/2009 02:51 PM 60,820 RTVSCAN.EXE-17F12963.pf
08/13/2009 02:48 PM 38,646 REGEDIT.EXE-3B104B33.pf
08/13/2009 02:44 PM 74,312 JQS.EXE-352796B1.pf
08/13/2009 02:44 PM 57,280 SVCHOST.EXE-064839DA.pf
08/13/2009 02:44 PM 7,166 ATI2SGAG.EXE-32DD5947.pf
08/13/2009 02:44 PM 101,846 DEFWATCH.EXE-290789F9.pf
08/13/2009 02:44 PM 20,932 GOOGLECRASHHANDLER.EXE-2EEBA74C.pf
08/13/2009 02:44 PM 61,838 AAWSERVICE.EXE-1E1DE6D1.pf
08/13/2009 02:44 PM 34,326 XPIZE_LOGON.EXE-2D8910FB.pf
08/13/2009 01:37 PM 25,058 TASKMGR.EXE-2D2BCF51.pf
08/13/2009 11:56 AM 23,898 REGSVR32.EXE-2CB1139E.pf
08/13/2009 11:20 AM 35,114 MEDIACATALOGER.EXE-00EBBB54.pf
08/13/2009 11:20 AM 87,400 COREL PAINT SHOP PRO PHOTO.EX-298CA039.pf
08/13/2009 11:01 AM 45,466 EQ2VOICESERVICE.EXE-0D8A86B8.pf
08/13/2009 11:01 AM 23,960 RUNDLL32.EXE-225EA12B.pf
08/13/2009 10:58 AM 58,678 EVERQUEST2.EXE-025C0DD2.pf
08/13/2009 10:57 AM 70,128 STATIONLAUNCHER.EXE-0728D476.pf
08/13/2009 10:57 AM 49,922 LAUNCHPAD.EXE-1ECA5A46.pf
08/13/2009 10:42 AM 58,746 GAME.EXE-2C45A29F.pf
08/13/2009 10:35 AM 102,362 IEXPLORE.EXE-2CA9778D.pf
08/13/2009 10:34 AM 79,028 UPDATER.EXE-26C30AD4.pf
08/13/2009 10:20 AM 54,742 CCSETMGR.EXE-03117913.pf
08/13/2009 09:25 AM 31,586 LUALL.EXE-2BCC229F.pf
08/13/2009 09:25 AM 59,604 LUCOMS~1.EXE-02DB5950.pf
08/13/2009 09:25 AM 87,464 VPDN_LU.EXE-0FC10937.pf
08/13/2009 09:23 AM 34,046 VPTRAY.EXE-2D128BA2.pf
08/13/2009 09:23 AM 38,068 CCAPP.EXE-2EA3695D.pf
08/13/2009 09:22 AM 42,088 CCEVTMGR.EXE-27655961.pf
08/13/2009 09:22 AM 5,218 MSI55.TMP-29015823.pf
08/13/2009 09:22 AM 5,318 MSI4D.TMP-39B2709D.pf
08/13/2009 09:22 AM 20,624 SEVINST.EXE-02E7491A.pf
08/13/2009 09:22 AM 10,230 SYMANT~1.EXE-0325DF9A.pf
08/13/2009 09:22 AM 59,326 LSETUP.EXE-25206897.pf
08/13/2009 09:22 AM 58,554 LUSETUP.EXE-370D147C.pf
08/13/2009 09:20 AM 111,036 MSIEXEC.EXE-0BEEA39E.pf
08/13/2009 09:20 AM 21,698 SETUP.EXE-02ABB702.pf
08/13/2009 09:16 AM 29,060 REGISTRY CLEANER.EXE-1EAE6133.pf
08/13/2009 08:35 AM 79,784 UPDATE.EXE-1F36D2CE.pf
08/13/2009 08:35 AM 81,178 UPDATE.EXE-2BCADE43.pf
08/13/2009 08:35 AM 81,512 UPDATE.EXE-36D7130C.pf
08/13/2009 08:34 AM 73,374 UPDATE.EXE-370CEDB3.pf
08/13/2009 08:34 AM 81,096 UPDATE.EXE-2F624B71.pf
08/13/2009 08:34 AM 82,064 UPDATE.EXE-2ECF4232.pf
08/13/2009 08:34 AM 82,036 UPDATE.EXE-1007AFD9.pf
08/13/2009 08:34 AM 22,462 UNREGMP2.EXE-123DF8DE.pf
08/13/2009 08:34 AM 14,774 SPUPDSVC.EXE-1476F501.pf
08/13/2009 08:34 AM 59,098 UPDATE.EXE-33DDA91A.pf
08/13/2009 08:32 AM 30,754 WINDOWS-KB890830-V2.13-DELTA.-1639A052.pf
08/13/2009 08:32 AM 53,486 MRT.EXE-17DC5063.pf
08/13/2009 08:32 AM 51,376 MRTSTUB.EXE-2D0FDA0A.pf
08/13/2009 08:32 AM 82,340 UPDATE.EXE-1E381627.pf
08/13/2009 08:30 AM 82,458 UPDATE.EXE-18C15213.pf
08/13/2009 06:31 AM 75,150 UPDATE.EXE-01C57F43.pf
08/13/2009 06:31 AM 88,216 UPDATE.EXE-0F48E488.pf
08/13/2009 06:31 AM 74,146 UPDATE.EXE-12A98111.pf
08/13/2009 06:31 AM 74,838 UPDATE.EXE-0A1050E2.pf
08/13/2009 06:30 AM 74,388 UPDATE.EXE-23677EF4.pf
08/13/2009 06:30 AM 76,314 UPDATE.EXE-1EE81672.pf
08/13/2009 05:27 AM 160,440 ZPLAYER.EXE-05AC08A4.pf
08/13/2009 01:20 AM 55,456 EMCRYPT.EXE-1B6BA134.pf
08/13/2009 01:10 AM 23,300 RUNDLL32.EXE-41B97B03.pf
08/13/2009 12:22 AM 84,986 FIESTA.BIN-2C4378E2.pf
08/13/2009 12:22 AM 96,866 FIESTAONLINE.EXE-08A6F865.pf
08/12/2009 10:16 PM 110,336 HELPSVC.EXE-09BE1947.pf
08/12/2009 03:42 PM 73,348 DFRGNTFS.EXE-2C06A9EE.pf
08/12/2009 03:42 PM 41,274 DEFRAG.EXE-18BF5EA9.pf
08/12/2009 03:41 PM 344,680 Layout.ini
08/12/2009 09:04 AM 26,308 RUNDLL32.EXE-179426A1.pf
08/12/2009 07:57 AM 21,720 SNDVOL32.EXE-020A2692.pf
08/12/2009 07:07 AM 51,394 TEAMSPEAK.EXE-1C1FA5B1.pf
08/12/2009 07:03 AM 59,500 NOSTALEX.DAT-0B2EF7D6.pf
08/12/2009 07:03 AM 67,614 NOSTALE.EXE-035FF3BC.pf
08/12/2009 06:50 AM 22,406 TINTLPHR.EXE-2A277573.pf
08/11/2009 06:15 AM 28,416 JAVAWS.EXE-1714DD62.pf
08/11/2009 06:15 AM 123,550 JAVAW.EXE-0159D575.pf
08/11/2009 04:31 AM 58,886 SHAIYA_DE_FULLCLIENT_20090709-05B02DD0.pf
08/11/2009 03:07 AM 32,636 BTDNA.EXE-3722F78C.pf
08/11/2009 03:07 AM 28,146 BTDNA.EXE-0B2F3819.pf
08/11/2009 03:07 AM 52,976 SHAIYA_DE_FULLCLIENT_20090709-1A32BD01.pf
08/10/2009 02:31 PM 51,576 ADOBE_UPDATER.EXE-059F58EC.pf
08/10/2009 08:48 AM 74,244 AD-AWAREADMIN.EXE-1618EEEB.pf
08/08/2009 08:28 PM 34,360 WMIC.EXE-1F8E06AA.pf
08/08/2009 08:28 PM 44,724 PATCHJRE.EXE-32D75151.pf
08/08/2009 08:27 PM 8,344 MSI70.TMP-33214427.pf
08/08/2009 08:27 PM 19,494 MSI64.TMP-2DD5F6BA.pf
08/08/2009 08:27 PM 34,010 JRE-6U15-WINDOWS-I586-IFTW.EX-244D4B1F.pf
08/08/2009 08:27 PM 58,984 JAVA.EXE-2167859B.pf
08/08/2009 07:58 AM 37,308 JUCHECK.EXE-221FFD79.pf
08/08/2009 05:57 AM 21,676 HELPER.EXE-244ABC1F.pf
08/08/2009 05:56 AM 34,168 UPDATER.EXE-3725FEAE.pf
08/08/2009 05:56 AM 24,370 MMLOADDRV.EXE-077F5A63.pf
08/08/2009 05:56 AM 34,716 MMACEPREV.EXE-00399158.pf
08/08/2009 05:54 AM 55,464 CLI.EXE-07E3B6B7.pf
08/08/2009 05:38 AM 22,366 SETUP.EXE-1E216F9A.pf
08/08/2009 05:38 AM 5,686 ATISHLX.EXE-09868946.pf
08/08/2009 05:38 AM 119,756 CCCINSTALL.EXE-2CC8C343.pf
08/08/2009 05:38 AM 33,468 INSTALLSHELL.EXE-2774F2BE.pf
08/08/2009 05:38 AM 10,518 ATISHLX.EXE-0342A11B.pf
08/08/2009 05:38 AM 35,164 CCCINSTALL.EXE-00975E9D.pf
08/08/2009 05:37 AM 51,024 SETUP.EXE-3B5E59FB.pf
08/08/2009 05:37 AM 17,592 RUNONCE.EXE-254D490F.pf
08/08/2009 05:36 AM 28,630 SETUP.EXE-39C1815B.pf
08/08/2009 05:36 AM 9,882 ATICIM.BIN-115CB8DE.pf
08/08/2009 05:36 AM 63,458 IKERNEL.EXE-092EF074.pf
08/08/2009 05:35 AM 18,380 ISSETUP.EXE-20F50B6A.pf
08/08/2009 05:35 AM 21,480 SETUP.EXE-32F72D3D.pf
08/08/2009 05:35 AM 17,848 ATIRUNREGFIX.EXE-0EB13302.pf
08/08/2009 05:35 AM 6,612 REGPERMWRITER.EXE-282367BB.pf
08/08/2009 05:34 AM 52,754 9-7_XP32_DD_CCC_WDM_ENU.EXE-287A9C55.pf
07/31/2009 06:01 AM 63,630 GOOGLEEARTH.EXE-15D28C6D.pf
07/31/2009 05:55 AM 24,444 THREATWORK.EXE-2CC668FF.pf
07/31/2009 05:18 AM 55,144 AD-AWARE.EXE-2B8B58D1.pf
07/09/2009 11:17 PM 62,952 FIESTAONLINE.EXE-13A2947E.pf
07/09/2009 06:54 PM 62,532 FIESTA.BIN-021978C8.pf
04/04/2009 10:48 PM 320,152 NTOSBOOT-B00DFAAD.pf
130 Datei(en) 7,099,298 Bytes
0 Verzeichnis(se), 36,447,375,360 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4ED-2FD5
Verzeichnis von C:\WINXP\tasks
08/13/2009 03:22 PM 874 GoogleUpdateTaskMachineUA.job
08/13/2009 02:50 PM 870 GoogleUpdateTaskMachineCore.job
08/13/2009 02:50 PM 6 SA.DAT
08/10/2009 08:48 AM 458 Ad-Aware Update (Weekly).job
5 Datei(en) 2,273 Bytes
0 Verzeichnis(se), 36,447,375,360 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4ED-2FD5
Verzeichnis von C:\WINXP\Temp
08/13/2009 02:50 PM 0 Perflib_Perfdata_2c8.dat
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 36,447,375,360 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4ED-2FD5
Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp
08/13/2009 02:55 PM 90,073 jusched.log
08/13/2009 11:20 AM 1,492 PCULog1.txt
08/13/2009 11:20 AM 3 Twain001.Mtx
08/13/2009 09:24 AM 2,727,564 SAV_INST.LOG
08/11/2009 06:15 AM 11,982 java_install_reg.log
08/11/2009 03:07 AM 804 licensepage.ini
08/11/2009 03:07 AM 166 finishpage.ini
08/11/2009 02:59 AM 16,006 PCULog0.txt
08/09/2009 08:30 PM 116 689211B7.TMP
08/08/2009 08:27 PM 2,769 java_install_sp.log
08/08/2009 08:27 PM 1,780,224 321fdb2.mst
08/08/2009 08:27 PM 934 jinstall.cfg
08/08/2009 07:03 AM 416,560 ~AP49.tmp
08/08/2009 07:03 AM 416,560 ~AP48.tmp
08/08/2009 07:03 AM 416,560 ~AP47.tmp
08/08/2009 07:03 AM 416,560 ~AP46.tmp
08/08/2009 06:57 AM 416,560 ~AP45.tmp
08/08/2009 06:57 AM 416,560 ~AP44.tmp
08/08/2009 06:57 AM 416,560 ~AP43.tmp
08/08/2009 06:57 AM 416,560 ~AP42.tmp
08/08/2009 05:33 AM 7,953 PCULog3.txt
08/01/2009 07:29 PM 714,528 jre-6u15-windows-i586-iftw.exe
07/30/2009 07:07 PM 17,051 jar_cache6214672862250142647.tmp
07/28/2009 11:09 PM 0 cacC6.tmp
07/28/2009 11:08 PM 0 7f6B4.tmp
07/28/2009 02:01 AM 0 cfa18C.tmp
07/26/2009 10:40 PM 0 o0p89.tmp
07/23/2009 02:40 PM 32,768 ~DFAA49.tmp
07/23/2009 02:40 PM 19,261 modC.tmp
07/23/2009 02:40 PM 422 modB.tmp
07/23/2009 02:40 PM 34 modA.tmp
07/21/2009 08:42 PM 19,261 mod61.tmp
07/21/2009 08:42 PM 422 mod60.tmp
07/21/2009 08:42 PM 34 mod5F.tmp
07/21/2009 08:18 PM 19,261 mod5E.tmp
07/21/2009 08:18 PM 34 mod59.tmp
07/21/2009 08:18 PM 422 mod5A.tmp
07/21/2009 02:38 PM 81,920 ~DFDC65.tmp
07/20/2009 02:12 AM 22,432 mod79.tmp
07/20/2009 02:12 AM 34 mod77.tmp
07/20/2009 02:12 AM 439 mod78.tmp
07/20/2009 02:00 AM 22,432 mod5D.tmp
07/20/2009 02:00 AM 34 mod5B.tmp
07/20/2009 01:59 AM 437 mod5C.tmp
07/20/2009 01:58 AM 74,391 mod58.tmp
07/20/2009 01:58 AM 34 mod56.tmp
07/20/2009 01:58 AM 397 mod57.tmp
07/19/2009 11:20 PM 22,432 mod51.tmp
07/19/2009 11:20 PM 439 mod4D.tmp
07/19/2009 11:20 PM 34 mod4C.tmp
07/19/2009 09:00 PM 81,920 ~DF57F3.tmp
07/19/2009 07:43 PM 16,244 6c54_appcompat.txt
07/19/2009 07:14 PM 16,244 e4ba_appcompat.txt
07/17/2009 02:23 AM 19,261 modBE.tmp
07/17/2009 02:23 AM 34 modBC.tmp
07/17/2009 02:23 AM 420 modBD.tmp
07/17/2009 02:03 AM 22,432 mod9E.tmp
07/17/2009 02:03 AM 34 mod96.tmp
07/17/2009 02:03 AM 437 mod9D.tmp
07/17/2009 02:02 AM 22,432 mod95.tmp
07/17/2009 02:02 AM 34 mod93.tmp
07/17/2009 02:02 AM 437 mod94.tmp
07/17/2009 02:01 AM 74,391 mod8C.tmp
07/17/2009 02:01 AM 34 mod87.tmp
07/17/2009 02:01 AM 395 mod88.tmp
07/17/2009 02:00 AM 22,432 mod86.tmp
07/17/2009 02:00 AM 34 mod84.tmp
07/17/2009 02:00 AM 437 mod85.tmp
07/17/2009 02:00 AM 22,432 mod83.tmp
07/17/2009 02:00 AM 34 mod81.tmp
07/17/2009 02:00 AM 439 mod82.tmp
07/17/2009 01:55 AM 19,261 mod7F.tmp
07/17/2009 01:55 AM 34 mod7D.tmp
07/17/2009 01:55 AM 420 mod7E.tmp
07/17/2009 01:52 AM 81,920 ~DF5886.tmp
07/16/2009 06:40 PM 22,432 mod35.tmp
07/16/2009 06:40 PM 34 mod33.tmp
07/16/2009 06:40 PM 437 mod34.tmp
07/16/2009 02:02 PM 74,391 mod29.tmp
07/16/2009 02:02 PM 34 mod24.tmp
07/16/2009 02:02 PM 397 mod25.tmp
07/16/2009 02:01 PM 81,920 ~DF3F42.tmp
07/16/2009 02:01 PM 74,391 mod23.tmp
07/16/2009 02:01 PM 34 mod21.tmp
07/16/2009 02:01 PM 397 mod22.tmp
07/16/2009 02:01 PM 22,432 mod20.tmp
07/16/2009 02:01 PM 34 mod1E.tmp
07/16/2009 02:01 PM 435 mod1F.tmp
07/16/2009 01:59 PM 22,432 mod1D.tmp
07/16/2009 01:59 PM 34 mod1B.tmp
07/16/2009 01:59 PM 437 mod1C.tmp
07/08/2009 01:31 PM 19,261 modB2.tmp
07/08/2009 01:31 PM 34 modB0.tmp
07/08/2009 01:31 PM 422 modB1.tmp
07/08/2009 09:45 AM 32,768 ~DFA512.tmp
07/04/2009 12:56 PM 19,261 mod9C.tmp
07/04/2009 12:56 PM 34 mod9A.tmp
07/04/2009 12:56 PM 422 mod9B.tmp
07/04/2009 12:56 PM 19,261 mod99.tmp
07/04/2009 12:56 PM 34 mod97.tmp
07/04/2009 12:56 PM 422 mod98.tmp
07/04/2009 11:41 AM 1,598 9fb5_appcompat.txt
07/04/2009 10:35 AM 19,261 mod91.tmp
07/04/2009 10:35 AM 34 mod8F.tmp
07/04/2009 10:35 AM 422 mod90.tmp
07/04/2009 10:35 AM 32,768 ~DFC1A3.tmp
06/26/2009 03:15 AM 19,261 mod50.tmp
06/26/2009 03:15 AM 34 mod4E.tmp
06/26/2009 03:15 AM 420 mod4F.tmp
06/26/2009 03:09 AM 32,768 ~DF2986.tmp
06/17/2009 01:06 PM 783 DIMLog.txt
06/17/2009 01:04 PM 45,327,872 297269.msp
06/17/2009 01:01 PM 0 TWAIN.LOG
06/17/2009 01:01 PM 61,440 29726a.mst
06/12/2009 09:48 AM 19,261 mod76.tmp
06/12/2009 09:48 AM 34 mod74.tmp
06/12/2009 09:48 AM 422 mod75.tmp
06/12/2009 02:07 AM 32,768 ~DF48C3.tmp
06/11/2009 08:13 AM 537,600 722c9.mst
06/08/2009 02:46 AM 32,768 ~DFCE44.tmp
06/08/2009 02:46 AM 19,261 mod8.tmp
06/08/2009 02:46 AM 34 mod6.tmp
06/08/2009 02:46 AM 420 mod7.tmp
06/04/2009 11:52 AM 32,768 ~DF7A57.tmp
06/04/2009 11:52 AM 19,261 mod8B.tmp
06/04/2009 11:52 AM 34 mod89.tmp
06/04/2009 11:52 AM 422 mod8A.tmp
06/03/2009 04:30 AM 4,780,760 DWPUpgradeInstaller.exe
06/02/2009 07:30 AM 335 ah_setup.log
06/02/2009 07:30 AM 310,431 ah_install.log
06/02/2009 07:30 AM 182 ah_setupwatcher1.log
06/02/2009 07:30 AM 426,188 dd_dotnetfx35install.txt
06/02/2009 07:30 AM 83,016 uxeventlog.txt
06/02/2009 07:30 AM 237,070 dd_depcheck_NETFX_EXP_35.txt
06/02/2009 07:30 AM 176,698 dd_dotnetfx35install_lp.txt
06/02/2009 07:30 AM 724,202 dd_NET_Framework35_LangPack_MSI0D6A.txt
06/02/2009 07:30 AM 2,335,646 dd_NET_Framework_30LP_Agile_Setup0D32.txt
06/02/2009 07:29 AM 2,811,090 dd_NET_Framework_20LP_Agile_Setup0C6E.txt
06/02/2009 07:27 AM 2 dd_dotnetfx35error_lp.txt
06/02/2009 07:26 AM 3,358,552 dd_NET_Framework35_MSI09CD.txt
06/02/2009 07:25 AM 5,423,022 dd_NET_Framework30_Setup0927.txt
06/02/2009 07:24 AM 4,823 dd_wcf_retCA65A5.txt
06/02/2009 07:24 AM 22,052 dd_XPS.txt
06/02/2009 07:24 AM 13,198,742 dd_NET_Framework20_Setup7DCD.txt
06/02/2009 07:21 AM 5,156 ASPNETSetup_00000.log
06/02/2009 07:09 AM 24,783 dd_clwireg.txt
06/02/2009 07:09 AM 0 bch5B.tmp
06/02/2009 07:09 AM 0 bch58.tmp
06/02/2009 07:09 AM 0 bch55.tmp
06/02/2009 07:08 AM 0 bch52.tmp
06/02/2009 07:08 AM 0 bch4D.tmp
06/02/2009 07:08 AM 0 bch4A.tmp
06/02/2009 07:08 AM 0 bch47.tmp
06/02/2009 07:08 AM 0 bch44.tmp
06/02/2009 07:08 AM 0 bch41.tmp
06/02/2009 07:08 AM 0 bch3E.tmp
06/02/2009 07:08 AM 0 bch3B.tmp
06/02/2009 07:08 AM 0 bch38.tmp
06/02/2009 07:08 AM 0 bch35.tmp
06/02/2009 07:08 AM 0 bch32.tmp
06/02/2009 07:08 AM 0 bch2F.tmp
06/02/2009 07:08 AM 0 bch2C.tmp
06/02/2009 07:07 AM 0 bch29.tmp
06/02/2009 07:07 AM 0 bch26.tmp
06/02/2009 07:07 AM 0 bch23.tmp
06/02/2009 07:07 AM 0 bch20.tmp
06/02/2009 07:07 AM 0 bch1D.tmp
06/02/2009 07:07 AM 0 bch1A.tmp
06/02/2009 07:07 AM 0 bch17.tmp
06/02/2009 07:07 AM 0 bch14.tmp
06/02/2009 07:07 AM 0 bch11.tmp
06/02/2009 07:05 AM 2 dd_dotnetfx35error.txt
06/02/2009 07:04 AM 379 ah_download.log
06/02/2009 07:04 AM 2,959,376 dotnetfx35setup.exe
05/31/2009 02:00 PM 798,234 IMT4E.xml
05/31/2009 02:00 PM 426 IMT4D.xml
05/31/2009 02:00 PM 2,036 IMT4C.xml
05/31/2009 01:13 PM 0 ~42.tmp
05/31/2009 01:13 PM 291,960 ~42.mp3
05/31/2009 01:10 PM 0 ~41.tmp
05/31/2009 01:10 PM 291,960 ~41.mp3
05/29/2009 10:08 AM 16,230 c6f1_appcompat.txt
05/27/2009 06:30 PM 29,047 mod28.tmp
05/27/2009 06:30 PM 34 mod26.tmp
05/27/2009 06:30 PM 401 mod27.tmp
05/27/2009 05:36 PM 32,768 ~DF1F34.tmp
05/24/2009 10:18 AM 0 wla28.tmp
05/23/2009 05:37 AM 32,768 ~DF54A3.tmp
05/23/2009 05:37 AM 29,047 mod18.tmp
05/23/2009 05:37 AM 34 mod16.tmp
05/23/2009 05:37 AM 401 mod17.tmp
05/23/2009 05:33 AM 236,440 jre-6u14-windows-i586-iftw-rv.exe
03/21/2009 04:06 PM 1,063,424 np7.tmp
03/21/2009 04:06 PM 1,063,424 npB.tmp
03/21/2009 04:06 PM 1,063,424 np8.tmp
03/21/2009 04:06 PM 1,063,424 np3.tmp
02/10/2009 07:24 PM 678,400 npD.tmp
02/10/2009 07:24 PM 678,400 npA.tmp
02/10/2009 07:24 PM 678,400 np5.tmp
02/09/2009 12:54 PM 740,864 np6.tmp
204 Datei(en) 103,479,612 Bytes
0 Verzeichnis(se), 36,447,358,976 Bytes frei
Geändert von oOTopsyOo (13.08.2009 um 17:26 Uhr) |
|
13.08.2009, 17:09
| #8 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe CCleaner log Code:
ATTFilter 3ivx D4 4.5.1 (remove only)
AC3Filter (remove only)
Acrobat.com
Ad-Aware
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3
Adobe Shockwave Player 11
AngelPotion Video Codec V1
ASUS Probe V2.23.08
ATI - Software Uninstall Utility
ATI AVIVO Codecs
ATI Catalyst Control Center
ATI Display Driver
ATI HYDRAVISION
ATI Parental Control & Encoder
ATI Problem Report Wizard
CCleaner (remove only)
CD Audio Reader Filter (remove only)
Corel Paint Shop Pro Photo X2
DC-Bass Source 1.1.1
DirectVobSub (remove only)
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Driver Detective
DScaler 5 Mpeg Decoders
ffdshow [rev 2527] [2008-12-19]
Fiesta Online(EU_German) 1.02.004
FlashFXP
FlashFXP v3
GIMP 2.6.6
Google Earth Plugin
Google Earth Pro
Haali Media Splitter
Indeo® Software
Install(GE)
Intel(R) Network Connections 14.0.40.0
Java(TM) 6 Update 15
LiveUpdate 2.6 (Symantec Corporation)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Report Viewer Redistributable 2005
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
MONOGRAM AMR Splitter/Decoder (remove only)
Mozilla Firefox (3.5.2)
Mpeg Layer3 Codec FHG-Radium v1.263
MSXML 4.0 SP2 (KB954430)
No23 Recorder
Nostale Online DE (Remove)
OpenSource Flash Video Splitter (remove only)
PCI Audio Driver
QuickTime Alternative 2.7.0
RealMedia (remove only)
Requiem
Serv-U 6.3
SHOUTcast Source (remove only)
Station Launcher
Symantec AntiVirus
TaskSwitchXP
TeamSpeak 2 RC2
Windows Internet Explorer 8
WinRAR archiver
XPize Darkside 2.1
Xvid 1.2.1 final uninstall
XVID Decoder (remove only)
XviD Media Codec 1.0.2
Zoom Player (remove only)
Aion
Gmer log Code:
ATTFilter GMER 1.0.15.15020 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-13 17:35:01
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT 887A31D0 ZwConnectPort
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF764787E]
SSDT sptd.sys ZwEnumerateKey [0xF74F2FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF74F3340]
SSDT sptd.sys ZwOpenKey [0xF74ED0B0]
SSDT sptd.sys ZwQueryKey [0xF74F3418]
SSDT sptd.sys ZwQueryValueKey [0xF74F3298]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF7647BFE]
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINXP\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload BA20E8AC 5 Bytes JMP 8A0411C8
? System32\Drivers\axvhb4kl.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINXP\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F750406C] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7504018] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F75269AE] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F750406C] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74EDAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74EDC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74EDB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74EE748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74EE61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F750329A] sptd.sys
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A2001E8
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Fastfat \FatCdrom 86ED41E8
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\usbuhci \Device\USBPDO-0 8A0401E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A18F1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8A18F1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8A18F1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8A18F1E8
Device \Driver\usbuhci \Device\USBPDO-1 8A0401E8
Device \Driver\usbuhci \Device\USBPDO-2 8A0401E8
Device \Driver\usbuhci \Device\USBPDO-3 8A0401E8
Device \Driver\usbehci \Device\USBPDO-4 8A0A55F0
Device \Driver\PCI_NTPNP7154 \Device\00000048 sptd.sys
Device \Driver\PCI_NTPNP7154 \Device\00000048 sptd.sys
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A2021E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A2021E8
Device \Driver\Cdrom \Device\CdRom0 8A069790
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A2021E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A2021E8
Device \Driver\Ftdisk \Device\HarddiskVolume5 8A2021E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8869F1E8
Device \Driver\NetBT \Device\NetbiosSmb 8869F1E8
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbuhci \Device\USBFDO-0 8A0401E8
Device \Driver\usbuhci \Device\USBFDO-1 8A0401E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86F7D790
Device \Driver\usbuhci \Device\USBFDO-2 8A0401E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86F7D790
Device \Driver\usbuhci \Device\USBFDO-3 8A0401E8
Device \Driver\usbehci \Device\USBFDO-4 8A0A55F0
Device \Driver\Ftdisk \Device\FtControl 8A2021E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{84F0D201-8F72-4020-BBFB-005574A28541} 8869F1E8
Device \Driver\axvhb4kl \Device\Scsi\axvhb4kl1 89FF81E8
Device \FileSystem\Fastfat \Fat 86ED41E8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Cdfs \Cdfs 86EFA790
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x51 0xC2 0x10 0x32 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x51 0xC2 0x10 0x32 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
---- EOF - GMER 1.0.15 ----
Fsbl log Code:
ATTFilter 08/13/09 17:36:47 [Info]: BlackLight Engine 2.2.1092 initialized
08/13/09 17:36:47 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/13/09 17:36:47 [Note]: 7019 4
08/13/09 17:36:47 [Note]: 7005 0
08/13/09 17:37:02 [Note]: 7006 0
08/13/09 17:37:02 [Note]: 7011 336
08/13/09 17:37:02 [Note]: 7035 0
08/13/09 17:37:02 [Note]: 7026 0
08/13/09 17:37:02 [Note]: 7026 0
08/13/09 17:37:04 [Note]: FSRAW library version 1.7.1024
08/13/09 17:44:19 [Note]: 7007 0
Alles der Reihe nach wie im Thread beschrieben. |
|
13.08.2009, 19:44
| #9 |
| /// Helfer-Team | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe hi OK, sieht gut aus, aber lassen wir ein Zwischenbericht von Kaspersky auch erstellen: 1. den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw das SDFix kannst entfernen F-Secure und GMER auch 2. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
|
14.08.2009, 08:27
| #10 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe Scan hat was länger gedauert da ich alles gescannt habe.. Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\signons.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{C8B19396-887E-11DE-8393-0015F20DE3D9}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{C8B19397-887E-11DE-8393-0015F20DE3D9}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{D91DE4E0-8880-11DE-8393-0015F20DE3D9}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\etilqs_PjMrjixfRWwixh0bIMrJ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_5b0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF616E.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6179.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF61D6.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF61E1.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6215.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6220.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFB7BB.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFF218.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFFAA4.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20090814-045140.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBConfig.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDebug.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDetect.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBNotify.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBRefr.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetDev.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStHash.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStMSI.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBValid.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\RhinoSoft.com\Serv-U\ServUTray.exe Infizierte Objekte: not-a-virus:Server-FTP.Win32.Serv-U.6200 übersprungen
C:\Programme\Symantec AntiVirus\SAVRT\0460NAV~.TMP Das Objekt ist gesperrt übersprungen
C:\Programme\Symantec AntiVirus\SAVRT\0638NAV~.TMP Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log Das Objekt ist gesperrt übersprungen
C:\WINXP\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINXP\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\Temp\Perflib_Perfdata_268.dat Das Objekt ist gesperrt übersprungen
C:\WINXP\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log Das Objekt ist gesperrt übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\A0028524.exe RAR: infiziert - 3 übersprungen
G:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
Geändert von oOTopsyOo (14.08.2009 um 08:55 Uhr) |
|
14.08.2009, 09:22
| #11 |
| /// Helfer-Team | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe hi Scanergebnis nicht vollständig reinkopiert, aber nicht Gravierendes dabei 1. den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw 2. Rechten Maustaste auf den "Arbeitsplatz"-->auf "Eigenschaften"-->Registerkarte "Systemwiederherstellung"--> "Systemwiederherstellung deaktivieren"-->auf "OK"-->alles schließen-->Rechner neu starten-->die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren") 3. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5.
6. - eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - nach jedem Scanvorgang starte dein system neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern Code:
ATTFilter bitdefender emsisoft symantec |
|
14.08.2009, 11:30
| #12 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe Hallo bis auf die online scanns habe ich alles wie beschrieben gemacht. Die online scanns poste ich dann wenn sie durch sind. Log.. Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 08/14/2009 at 12:09 PM
Application Version : 4.27.1002
Core Rules Database Version : 4056
Trace Rules Database Version: 1996
Scan type : Complete Scan
Total Scan Time : 00:35:30
Memory items scanned : 651
Memory threats detected : 0
Registry items scanned : 4486
Registry threats detected : 0
File items scanned : 28775
File threats detected : 14
Adware.Tracking Cookie
D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@adfarm1.adition[1].txt
D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@microsoftgamestudio.112.2o7[1].txt
D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@atdmt[1].txt
D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@bs.serving-sys[2].txt
D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@serving-sys[1].txt
D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@microsoftwindows.112.2o7[1].txt
D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@msnportal.112.2o7[1].txt
.doubleclick.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
.fastclick.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
.fastclick.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
.apmebf.com [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
.adbureau.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
.cgm.adbureau.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
.sonyonlineentertainment.112.2o7.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
|
|
14.08.2009, 14:28
| #13 | |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe hmm nu bin ich etwas verwirrt, Das Prg Avenger habe ich von einem link aus diesem board Oo hier das Logfile vom onlinescan a-squared Zitat:
Log von Symantec folgt Mfg |
|
14.08.2009, 15:18
| #14 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe so hier der scan mit symantec.. Code:
ATTFilter Virenstatus: Sicher!
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.
Virenstatus: Infiziert!
Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.
Virenstatus:
136901 Dateien geprüft 1 infizierte Datei(en) auf Ihren Laufwerken.
Es wurden keine Viren im Arbeitsspeicher gefunden.
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien
Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton 360™ durch.
Es wurden keine Viren im Arbeitsspeicher gefunden.
Die Prüfung wurde vorzeitig abgebrochen. Um die Prüfung erneut zu starten, klicken Sie hier.
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien
Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton 360™ durch.
Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.
Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.
Es wurden keine Viren im Arbeitsspeicher gefunden.
Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.
Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
Es wurden keine Viren im Arbeitsspeicher gefunden.
Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.
Hinweis: Die Prüfung wurde abgebrochen, bevor sie abgeschlossen war. Es können sich weitere infizierte Dateien auf diesem Computer befinden.
Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
Es wurde keine Prüfung durchgeführt. Um die Virenerkennung zu starten, klicken Sie hier.
G:\-( Tools )-\FlashFxpI\FFXP Kg.exe ist infiziert mit Suspicious.MH690
Naja hieraus werde ich nicht schlau, keine vernünftige log datei  |
|
14.08.2009, 15:25
| #15 |
| | REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe Habe die Datei FFXP Kg.exe nochmal mit VirusTotal gescannt... hier der log Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.14 Trojan-Dropper.Agent!IK
AhnLab-V3 5.0.0.2 2009.08.14 Win-Trojan/Xema.variant
AntiVir 7.9.1.1 2009.08.14 TR/Agent.529124
Antiy-AVL 2.0.3.7 2009.08.14 Trojan/Win32.Agent.gen
Authentium 5.1.2.4 2009.08.13 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.08.14 -
AVG 8.5.0.406 2009.08.14 Suspicion: unknown virus
BitDefender 7.2 2009.08.14 Trojan.Generic.1726530
CAT-QuickHeal 10.00 2009.08.13 Trojan.Agent.ATV
ClamAV 0.94.1 2009.08.14 -
Comodo 1976 2009.08.14 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.08.14 BackDoor.Bifrost.922
eSafe 7.0.17.0 2009.08.13 Win32.PackedUpack.A
eTrust-Vet 31.6.6677 2009.08.14 -
F-Prot 4.4.4.56 2009.08.13 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.08.14 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.08.14 PossibleThreat!021375
GData 19 2009.08.14 Trojan.Generic.1726530
Ikarus T3.1.1.64.0 2009.08.14 Trojan-Dropper.Agent
Jiangmin 11.0.800 2009.08.14 -
K7AntiVirus 7.10.819 2009.08.14 Trojan.Win32.Small
Kaspersky 7.0.0.125 2009.08.14 -
McAfee 5708 2009.08.13 Generic.dx
McAfee+Artemis 5708 2009.08.13 Generic.dx
McAfee-GW-Edition 6.8.5 2009.08.14 Heuristic.LooksLike.Trojan.Dropper.J
Microsoft 1.4903 2009.08.14 -
NOD32 4335 2009.08.14 probably a variant of Win32/Spy.Agent
Norman 6.01.09 2009.08.14 W32/Packed_Upack.A
nProtect 2009.1.8.0 2009.08.14 Trojan/W32.Agent.529124
Panda 10.0.0.14 2009.08.14 Trj/Lineage.BZE
PCTools 4.4.2.0 2009.08.12 Packed/Upack
Prevx 3.0 2009.08.14 Medium Risk Malware
Rising 21.42.44.00 2009.08.14 -
Sophos 4.44.0 2009.08.14 Sus/ComPack-C
Sunbelt 3.2.1858.2 2009.08.13 Trojan.Win32.Packer.Upack0.3.9 (v)
Symantec 1.4.4.12 2009.08.14 Suspicious.MH690.A
TheHacker 6.3.4.3.383 2009.08.13 W32/Behav-Heuristic-060
TrendMicro 8.950.0.1094 2009.08.14 Cryp_Xed-12
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.14.1885 2009.08.14 -
VirusBuster 4.6.5.0 2009.08.14 Packed/Upack
weitere Informationen
File size: 529124 bytes
MD5...: 850b0e1107f569a3ae01dc3b1e0aef93
SHA1..: fe06ce9e28d2e62e80cc5d10628073a679f957e7
SHA256: a7b67998fde97db72fabf600cf7b75c12429432681af1262b5024726ee5d3dff
ssdeep: 12288:1avUVMCzg3QBX+IBiruWJw5Zx4LOyufXTlzR4lM9PB:1avoUoB6JJw7yuX
gitB
PEiD..: -
TrID..: File type identification
DOS Executable Generic (100.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x14e000 0x1f0 5.38 432b863aeba232bf0c6532a8388f2159
@_ 0x14f000 0x89000 0x810e4 7.94 b2a57818895561a1517cb41c2b79035b
_T@ 0x1d8000 0x1000 0x1f0 5.38 432b863aeba232bf0c6532a8388f2159
( 0 imports )
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch, UPack
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=850b0e1107f569a3ae01dc3b1e0aef93' target='_blank'>http://www.threatexpert.com/report.aspx?md5=850b0e1107f569a3ae01dc3b1e0aef93</a>
packers (Authentium): UPack, UPack, UPack
packers (F-Prot): UPack
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2B4651CEE431A62512E908898CEC1100B0E0629A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2B4651CEE431A62512E908898CEC1100B0E0629A</a>
|
|
| Themen zu REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe |
| .dll, ad-aware, ad-watch, adobe, antivirus, bho, explorer, firefox, frage, google, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, nicht gefunden, plug-in, programme, scan, software, svchost.exe, symantec, system, trojaner, userinit.exe, viren, windows, windows xp |
Linear-Darstellung
