Hallo!

Es hat mich letztes Wochenende erwischt, ich habe mir die Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen eingefangen.

Avira hat in folgenden Dateien immer wieder beim Hochfahren Aktivitäten gefunden:
c:\users\xxx\appdata\local\temp\123.exe - der Dateiname ist bei jedem Computerstart ein anderer, besteht aber immer aus Zahlen.
Außerdem wird eine Infektion auf c:\users\xxx\appdata\local\microsoft\windows\temporary internet files\Content.IE5\irgendeinsubordner\cuda(1).exe festgestellt.

Heute hat er zusätzlich den TR/Dropper.gen im c:\recycler\xxx\twain_x86.exe gefunden.
Malwarebytes findet nichts mehr, auch Avira findet im vollständigen Scan mit hoher Heurisik keine Auffälligkeiten.
Gerade jetzt beim Hochfahren hat er die üblichen drei Fundmeldungen nicht mehr gebracht, das macht mich jetzt doppelt unsicher.

Ich bitte euch um Hilfe! Hier mein Hijack-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:33, on 27.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Programme\EuroKass\EuroKass.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 4266 bytes


mfg, Michael

Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
- Lade dir RSIT - Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!

• - also lade Dir Gmer herunter
  - entpacke es auf deinen Desktop und Starte gmer.exe<-hier "umbenannt.com".
  - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft!

• starte in diesem Ordner fsbl.exe
• klicke auf "I accept the agreement" → "next" → "Scan"
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hi Coverflow!

Herzlichen Dank, dass du dich meines Problemes annimmst.
Es hat etwas gedauert, da ich mit dem Hochladen der Protokolle nicht zurecht gekommen bin ( das Forum lässt mich nur 25000 Zeichen einfügen, das ist sich bei keinem der Protokolle ausgegangen, ich habe sie jetzt bei File-Upload.net hochgeladen...

Punkt1: habe ich eingestellt

Punkt2:
Info:
http://www.file-upload.net/download-1858496/info.txt.html

Log:
http://www.file-upload.net/download-1858498/log.txt.html


Punkt 3:
Installierte Programme:
http://www.file-upload.net/download-1858505/installierte_programme.txt.html

Punkt 4 + 5 folgt in Kürze

Dank, lg Michi

So, hier Punkt 4:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15077 [testkit.com] - http://www.gmer.net
Rootkit quick scan 2009-08-31 12:21:44
Windows 6.0.6002 Service Pack 2


---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0  sector 01: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 02: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 03: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 04: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 05: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 06: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 07: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 08: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 09: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 10: rootkit-like behavior; copy of MBR
Disk  \Device\Harddisk0\DR0  sector 11: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 12: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 13: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 14: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 15: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 16: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 17: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 18: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 19: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 20: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 21: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 22: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 23: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 24: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 25: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 26: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 27: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 28: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 29: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 30: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 31: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 32: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 33: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 34: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 35: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 36: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 37: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 38: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 39: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 40: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 41: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 42: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 43: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 44: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 45: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 46: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 47: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 48: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 49: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 50: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 51: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 52: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 53: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 54: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 55: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 56: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 57: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 58: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 59: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 60: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 61: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 62: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----
         

Punkt 5:
no hidden items were found

Code: Alles auswählenAufklappen

ATTFilter

08/31/09 12:22:29 [Info]: BlackLight Engine 2.2.1092 initialized
08/31/09 12:22:29 [Info]: OS: 6.0 build 6002 (Service Pack 2)
08/31/09 12:22:29 [Note]: 7019 4
08/31/09 12:22:29 [Note]: 7005 0
08/31/09 12:22:33 [Note]: 7006 0
08/31/09 12:22:33 [Note]: 7027 0
08/31/09 12:22:33 [Note]: 7035 0
08/31/09 12:22:34 [Note]: 7026 0
08/31/09 12:22:34 [Note]: 7026 0
08/31/09 12:22:36 [Note]: FSRAW library version 1.7.1024
08/31/09 12:22:40 [Note]: 4015 167633
08/31/09 12:22:40 [Note]: 4027 167633 131072
08/31/09 12:22:40 [Note]: 4020 167632 131072
08/31/09 12:22:40 [Note]: 4018 167632 131072
08/31/09 12:22:56 [Note]: 4015 43736
08/31/09 12:22:56 [Note]: 4027 43736 786432
08/31/09 12:22:56 [Note]: 4020 39281 5242880
08/31/09 12:22:56 [Note]: 4022 39281
08/31/09 12:23:07 [Note]: 4015 5501
08/31/09 12:23:07 [Note]: 4027 5501 196608
08/31/09 12:23:07 [Note]: 4020 511 131072
08/31/09 12:23:07 [Note]: 4018 511 131072
08/31/09 12:23:09 [Note]: 4015 1428
08/31/09 12:23:09 [Note]: 4027 1428 65536
08/31/09 12:23:09 [Note]: 4020 1425 65536
08/31/09 12:23:09 [Note]: 4018 1425 65536
08/31/09 12:23:14 [Note]: 4015 1609
08/31/09 12:23:14 [Note]: 4027 1609 65536
08/31/09 12:23:14 [Note]: 4020 563 65536
08/31/09 12:23:14 [Note]: 4018 563 65536
08/31/09 12:23:16 [Note]: 4015 1690
08/31/09 12:23:16 [Note]: 4027 1690 65536
08/31/09 12:23:16 [Note]: 4020 1609 65536
08/31/09 12:23:16 [Note]: 4018 1609 65536
08/31/09 13:02:28 [Note]: 7007 0
         

hi

1.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

2.
Malwarebytes Anti-Malware :
Poste das Ergebnis hier in den Thread

3.
Master Boot Record überprüfen:

• Lade Dir die MBR.exe von GMER herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

4.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Servus!

1.:

Code: Alles auswählenAufklappen

ATTFilter

############################## | FindyKill V5.006 |

# User : Michael (Administratoren) # MICHAEL-PC
# Update on 14/08/09 by Chiquitine29
# Start at: 17:25:10 | 31.08.2009
# Website : hxxp://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
# Microsoft® Windows Vista™ Ultimate  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled

# C:\ # Lokale Festplatte # 698.63 Go (353.45 Go free) # NTFS
# D:\ # CD # 1.62 Go (0 Mo free) [EVERLIGHT] # UDF
# E:\ # Lokale Festplatte # 232.88 Go (7.86 Go free) [250 GB] # NTFS
# F:\ # Lokale Festplatte # 186.31 Go (89.36 Go free) [200 GB] # NTFS
# G:\ # Lokale Festplatte # 298.08 Go (14.28 Go free) [SATA] # NTFS
# H:\ # CD
# I:\ # Wechseldatenträger # 7.47 Go (6.05 Go free) [8GB-STICK] # NTFS
# J:\ # Wechseldatenträger

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |

(!) Non supprimé ! D:\autorun.inf 

################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-9432A083.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Michael\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_171-2101_Patch.exe""  
05.07.2008 20:57 |Size 1783431487 |Crc32 a5a9b3bd |Md5 487c38028635c4c22347d7818805efe4  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_171-2101_Patch.exe.resume""  
05.07.2008 20:57 |Size 552 |Crc32 a14a9d58 |Md5 9bd551b40a0e36bfcfe84ddded7b3655  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2100_2101_Patch.exe""  
28.12.2008 21:56 |Size 4801036 |Crc32 1449f58e |Md5 da19255164460709d9051e9185d9cc86  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2100_2101_Patch.exe.resume""  
28.12.2008 21:56 |Size 552 |Crc32 925bc3e3 |Md5 3886a351c5ce7e2f13fe9c045cbae055  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2101_2201_Patch.exe""  
05.07.2008 21:55 |Size 47201402 |Crc32 32208aa7 |Md5 5c6bde710e9b7ac033e75c48a6c5609f  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2101_2201_Patch.exe.resume""  
05.07.2008 21:55 |Size 552 |Crc32 d15e450f |Md5 383a8279ab80ab6455137835e181814a  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2201_2202_Patch.exe""  
05.07.2008 22:11 |Size 8250455 |Crc32 f7053f20 |Md5 b90974dc3c05339ad2b9364037ba6056  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2201_2202_Patch.exe.resume""  
05.07.2008 22:11 |Size 552 |Crc32 66fb0b71 |Md5 ad0c0c29c2aab21fb9090fc581754e1d  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2202_2300_Patch.exe""  
05.07.2008 22:18 |Size 42019073 |Crc32 35b122ed |Md5 643d0785ff041e1e225c7ba90fc2a98d  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2202_2300_Patch.exe.resume""  
05.07.2008 22:18 |Size 552 |Crc32 da09b0d6 |Md5 fe4b5d127f0fb51bfaf7f6e12805d116  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2300_2301_Patch.exe""  
06.07.2008 08:34 |Size 81703264 |Crc32 393c859d |Md5 75a4b0f339c2eabcdfb47c1b716ca331  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2300_2301_Patch.exe.resume""  
06.07.2008 08:34 |Size 552 |Crc32 a3033815 |Md5 c9b6aaafe1641264d16d1c27e822a583  
 
 

################## | ! Fin du rapport # FindyKill V5.006 ! |
         

2.:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2700
Windows 6.0.6002 Service Pack 2

31.08.2009 18:11:42
mbam-log-2009-08-31 (18-11-42).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 82514
Laufzeit: 5 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

3.:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

bin ich ihn los? :-) ich bin schon guter Hoffnung

lg, Michi