| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.02.2010, 22:52
| #1 |
 |  TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Hallo, ich habe mir gestern folgende Viren eingefangen, die zwar durch Antivir gelöscht wurden, aber mit jedem Neustart des Laptops tauchten sie wieder auf sobald ich ins Internet ging. TR/Zapchast.aix.79 [trojan] TR/Zapchast.aix.78 [trojan] TR/Dldr.FraudLoad.wybc [trojan] TR/Crypt.XPACK.Gen [trojan] TR/Spy.Gen [trojan] TR/Rootkit.Gen [trojan] Ich habe dann alle Punkte die ihr aufgelistet habt abgearbeitet und inzwischen wird nur noch der Rootkit.Gen gefunden. Was mich interessiert, kann ich die Daten die ich noch auf dem Rechner habe sichern ohne dass sich dieser Rootkit irgendwie auf meine externen Datenträger kopiert oder ratet ihr davon ab bzw. lässt sich sonst noch etwas machen um die Daten noch zu sichern, bevor ich das Betriebssystem neu aufsetze? Falls ihr euch wundert, dass ich noch einen alten IE drauf hatte --> bis jetzt hatte ich keine Ahnung, dass der IE eine Gefahr darstellt, wenn ich ihn nicht verwende, vielen Dank auch für diese Information! Wenn ich den IE komplett deinstalliere, wird dieses Problem dann beseitigt? Und vielen Danke für eure Seite, ich habe inzwischen schon einiges dazugelernt. Hier meine einzelnen Berichte und Logs. Bericht von Avira Antivir über das löschen von den Viren Code:
ATTFilter 11.02.2010,08:44:45 Aktuelle Version der VDF-Datei: 7.10.4.23
12.02.2010,08:43:57 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,08:46:43 Update-Auftrag gestartet!
12.02.2010,08:46:52 Aktuelle Engine Version: 8.2.1.160
12.02.2010,08:46:52 Aktuelle Version der VDF-Datei: 7.10.4.41
12.02.2010,10:14:07 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\765.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:07 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:34 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\msadv[1].exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:39 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:44 [WARNUNG] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\vzgomuf[1].htm
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,10:14:08 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:50 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:08 [WARNUNG] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\vzgomuf[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:59 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:30:10 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:30:11 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:30:41 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:31:15 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:31:55 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:32:54 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,10:32:55 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,10:58:16 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:16 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:15 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:09 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\msadv[1].exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:17 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\arzuoz[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:19 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,10:59:20 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:15 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\893.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\vzgomuf[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:30:26 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
12.02.2010,12:31:45 ---------------------------------------------------------
12.02.2010,12:31:52 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst läuft als uneingeschränkte Vollversion!
12.02.2010,12:31:52 AntiVir Guard version: 9.00.01.32, engine version 8.2.1.160, VDF version: 7.10.4.41
12.02.2010,12:31:53 AntiVir Guard wurde aktiviert.
12.02.2010,12:31:53 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
12.02.2010,12:31:53 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,12:39:32 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:32 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:31 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:42 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:32 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\451.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\arzuoz[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:49 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\msadv[1].exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:55 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:58 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:48:22 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
12.02.2010,16:48:01 ---------------------------------------------------------
12.02.2010,16:48:10 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst läuft als uneingeschränkte Vollversion!
12.02.2010,16:48:10 AntiVir Guard version: 9.00.01.32, engine version 8.2.1.160, VDF version: 7.10.4.41
12.02.2010,16:48:11 AntiVir Guard wurde aktiviert.
12.02.2010,16:48:11 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
12.02.2010,16:48:11 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,16:55:33 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
12.02.2010,16:56:41 ---------------------------------------------------------
12.02.2010,16:56:47 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst läuft als uneingeschränkte Vollversion!
12.02.2010,16:56:47 AntiVir Guard version: 9.00.01.32, engine version 8.2.1.160, VDF version: 7.10.4.41
12.02.2010,16:56:48 AntiVir Guard wurde aktiviert.
12.02.2010,16:56:48 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
12.02.2010,16:56:48 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,16:58:35 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:40 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\545.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:38 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\msadv[1].exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:31 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:29 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:57 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,16:58:48 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:50 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:59:59 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\ctv240.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
Bericht von Avira Antivir nach einem Komplettscan Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 13. Februar 2010 13:47
Es wird nach 1751559 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : CastorTroy
Computername : CT
Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 21:23:31
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:11:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:09:01
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 14:09:01
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 14:09:01
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 14:09:01
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 14:09:01
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 14:09:01
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 14:09:02
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 14:09:02
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 14:09:26
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 14:09:26
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 14:09:26
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 14:09:40
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 14:09:47
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 15:22:15
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 15:53:12
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 07:44:58
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 07:44:59
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 07:44:20
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 07:46:08
VBASE022.VDF : 7.10.4.31 2048 Bytes 11.02.2010 07:46:08
VBASE023.VDF : 7.10.4.32 2048 Bytes 11.02.2010 07:46:08
VBASE024.VDF : 7.10.4.33 2048 Bytes 11.02.2010 07:46:08
VBASE025.VDF : 7.10.4.34 2048 Bytes 11.02.2010 07:46:08
VBASE026.VDF : 7.10.4.35 2048 Bytes 11.02.2010 07:46:08
VBASE027.VDF : 7.10.4.36 2048 Bytes 11.02.2010 07:46:08
VBASE028.VDF : 7.10.4.37 2048 Bytes 11.02.2010 07:46:08
VBASE029.VDF : 7.10.4.38 2048 Bytes 11.02.2010 07:46:09
VBASE030.VDF : 7.10.4.39 2048 Bytes 11.02.2010 07:46:09
VBASE031.VDF : 7.10.4.45 70656 Bytes 12.02.2010 11:08:05
Engineversion : 8.2.1.160
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 14:11:58
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02.02.2010 14:09:52
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 14:10:48
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 02.12.2009 21:23:59
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 13:20:36
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 06.02.2010 15:53:16
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 13:20:28
AEGEN.DLL : 8.1.1.86 369012 Bytes 02.02.2010 14:09:51
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.11.1 184694 Bytes 02.02.2010 14:09:49
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\CASTOR~1\LOKALE~1\Temp\e3415579.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Samstag, 13. Februar 2010 13:47
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\fpujcv.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\fpujcv.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei wurde ignoriert.
Ende des Suchlaufs: Samstag, 13. Februar 2010 13:49
Benötigte Zeit: 01:56 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
215 Verzeichnisse wurden überprüft
5807 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
5804 Dateien ohne Befall
14 Archive wurden durchsucht
2 Warnungen
0 Hinweise
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3730
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.02.2010 19:08:03
mbam-log-2010-02-12 (19-08-03).txt
Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 281258
Laufzeit: 1 hour(s), 11 minute(s), 45 second(s)
Infizierte Speicherprozesse: 13
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 25
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 33
Infizierte Speicherprozesse:
C:\Programme\Synaptics\SynTP\syntplpr.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Synaptics\SynTP\syntpenh.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Intel\Wireless\Bin\zcfgsvc.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Java\jre6\bin\jusched.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Acer\ePM\epm-dm.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Launch Manager\qtzgacer.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Creative\Shared Files\Module Loader\dllml.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Console Launcher\ctapr2.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\volpanlu.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Malware.Packer.Gen) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syntplpr (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syntpenh (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Intel\Wireless\Bin\zcfgsvc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intelzeroconfig (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intelwireless (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sunjavaupdatesched (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winampagent (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\epm-dm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\epowermanagement (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\logonstudio (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\NeroCheck.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nerofiltercheck (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lmanager (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\atipta (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\ATI Technologies\ATI.ACE\Core-Static\clistart.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startccc (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Creative\Shared Files\Module Loader\dllml.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctapr2 (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\volpanel (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adobe arm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\groovemonitor (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\acrobat assistant 8.0 (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\Synaptics\SynTP\syntplpr.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Synaptics\SynTP\syntpenh.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Intel\Wireless\Bin\zcfgsvc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Java\jre6\bin\jusched.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\ProgramsCT\Winamp\winampa.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Acer\ePM\epm-dm.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Acer\ePM\epm.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Tools\LogonStudio\logonstudio.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\NeroCheck.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\logi_mwx.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\rundll32.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\6fdb4f2a.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\wmpscfgs.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe (Malware.Packer.Gen) -> Delete on reboot.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\crxt.exe (Backdoor.Bot.Gen) -> Quarantined and deleted successfully.
C:\Programme\Launch Manager\qtzgacer.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\clistart.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Creative\Shared Files\Module Loader\dllml.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Console Launcher\ctapr2.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\volpanlu.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\adobearm.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Internet Explorer\js.mui (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Internet Explorer\wmpscfgs.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Microsoft Office\Office12\groovemonitor.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-5747652983-6602157578-235195291-7780\wnzip32.exe (Worm.Autorun.B) -> Delete on reboot.
C:\Tools\CryptLoad\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\OLD3.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\fpujcv.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\LastGood\system32\ctfmon.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by CastorTroy at 2010-02-12 19:16:59 Microsoft Windows XP Professional Service Pack 3 System drive C: has 15 GB (16%) free of 95 GB Total RAM: 2046 MB (79% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:17:04, on 12.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\Shared Files\CTAudSvc.exe C:\ProgramsCT\Avira\AntiVir Desktop\sched.exe C:\ProgramsCT\Avira\AntiVir Desktop\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\WINDOWS\system32\wscntfy.exe C:\ProgramsCT\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\ProgramsCT\Logitech\MouseWare\system\em_exec.exe C:\Dokumente und Einstellungen\CastorTroy\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\CastorTroy.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.maxon.net/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll O4 - HKLM\..\Run: [avgnt] "C:\ProgramsCT\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Creative KSRun Persistence Module] RunDll32 KSRun.dll,RunDLLEntry O4 - HKLM\..\Run: [Module Loader] C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe -StartUpRun O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\kbdsock.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\ProgramsCT\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\ProgramsCT\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe -- End of file - 8488 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At12.job C:\WINDOWS\tasks\At13.job C:\WINDOWS\tasks\At14.job C:\WINDOWS\tasks\At15.job C:\WINDOWS\tasks\At16.job C:\WINDOWS\tasks\At17.job C:\WINDOWS\tasks\At18.job C:\WINDOWS\tasks\At19.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At20.job C:\WINDOWS\tasks\At21.job C:\WINDOWS\tasks\At22.job C:\WINDOWS\tasks\At23.job C:\WINDOWS\tasks\At24.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At9.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2009-12-18 61888] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{074C1DC5-9320-4A9A-947D-C042949C6216}] ContributeBHO Class - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA61DE26-FA67-4575-9033-918671094293}] TBSB03968 Class - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll [2008-08-14 2484224] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}] Adobe PDF Conversion Toolbar Helper - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2009-12-18 320928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-12-03 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-12-03 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2009-12-18 320928] {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - Contribute Toolbar - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784] {000E148C-F7A7-445A-9044-93BF6CE09ECB} - Toolbar fuer eBay - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll [2008-08-14 2484224] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "avgnt"=C:\ProgramsCT\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "Creative KSRun Persistence Module"=RunDll32 KSRun.dll,RunDLLEntry [] ""= [] "Module Loader"=C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe -StartUpRun [] "BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent [] "KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k [] "Logitech Utility"=C:\WINDOWS\Logi_MwX.Exe [2003-12-11 20992] "NWEReboot"= [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\WINDOWS\system32\kbdsock.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2009-02-25 155648] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Games\Dragon Age\bin_ship\daorigins.exe"="C:\Games\Dragon Age\bin_ship\daorigins.exe:*:Enabled:Dragon Age Origins -Spiel" "C:\Games\Dragon Age\DAOriginsLauncher.exe"="C:\Games\Dragon Age\DAOriginsLauncher.exe:*:Enabled:Dragon Age Origins -Launcher" "C:\Games\Dragon Age\bin_ship\daupdatersvc.service.exe"="C:\Games\Dragon Age\bin_ship\daupdatersvc.service.exe:*:Enabled:Dragon Age Origins -Inhaltsupdater" "C:\Tools\WM Recorder\RMR.exe"="C:\Tools\WM Recorder\RMR.exe:*:Enabled:RM Stream Recorder" "C:\Tools\WM Recorder\WMR90.exe"="C:\Tools\WM Recorder\WMR90.exe:*:Enabled:Windows Media (TM) Stream Recorder" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4217b332-efb9-11de-b58c-001500015284}] shell\AutoRun\command - setup.exe ======List of files/folders created in the last 1 months====== 2010-02-12 19:16:59 ----D---- C:\rsit 2010-02-12 17:49:06 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Malwarebytes 2010-02-12 17:49:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-02-12 12:40:08 ----D---- C:\Programme\Trend Micro 2010-02-12 11:37:01 ----D---- C:\WINDOWS\ie8updates 2010-02-12 11:32:09 ----D---- C:\WINDOWS\WBEM 2010-02-12 11:26:37 ----HDC---- C:\WINDOWS\ie8 2010-02-12 11:12:58 ----A---- C:\WINDOWS\system32\MRT.exe 2010-02-12 10:35:42 ----A---- C:\WINDOWS\system32\23.exe 2010-02-12 10:13:37 ----A---- C:\WINDOWS\system32\81.exe 2010-02-03 18:30:35 ----D---- C:\WTablet 2010-01-22 12:24:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cisco 2010-01-22 12:24:28 ----D---- C:\Programme\Cisco 2010-01-20 10:31:47 ----D---- C:\WINDOWS\Sun 2010-01-19 21:39:11 ----A---- C:\WINDOWS\NeroDigital.ini 2010-01-19 14:25:01 ----D---- C:\Programme\Gemeinsame Dateien\Ahead 2010-01-19 00:03:32 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\WTablet 2010-01-19 00:03:25 ----A---- C:\WINDOWS\system32\hidserv.dll 2010-01-19 00:02:47 ----D---- C:\WINDOWS\system32\WTablet 2010-01-19 00:02:45 ----N---- C:\WINDOWS\system32\Wintab32.dll 2010-01-19 00:02:44 ----N---- C:\WINDOWS\system32\Wacom_Tablet.exe 2010-01-19 00:02:44 ----N---- C:\WINDOWS\system32\Wacom_Tablet.dll 2010-01-19 00:02:43 ----D---- C:\Programme\Tablet 2010-01-15 17:29:12 ----D---- C:\Programme\WinPcap 2010-01-15 17:29:11 ----D---- C:\Temp 2010-01-15 17:29:06 ----A---- C:\WINDOWS\iun6002.exe 2010-01-14 08:38:44 ----A---- C:\WINDOWS\system32\ptpusb.dll 2010-01-14 08:38:42 ----A---- C:\WINDOWS\system32\ptpusd.dll ======List of files/folders modified in the last 1 months====== 2010-02-12 19:13:59 ----D---- C:\WINDOWS\Temp 2010-02-12 19:13:42 ----D---- C:\WINDOWS 2010-02-12 19:11:48 ----D---- C:\WINDOWS\system32\CatRoot2 2010-02-12 19:11:42 ----SHD---- C:\System Volume Information 2010-02-12 19:11:42 ----D---- C:\WINDOWS\system32\Restore 2010-02-12 19:11:12 ----D---- C:\WINDOWS\system32 2010-02-12 19:10:50 ----D---- C:\WINDOWS\system32\drivers 2010-02-12 19:10:50 ----D---- C:\WINDOWS\AppPatch 2010-02-12 19:10:11 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-02-12 19:08:03 ----D---- C:\Programme\Internet Explorer 2010-02-12 19:08:03 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Desktopicon 2010-02-12 19:00:01 ----RD---- C:\Programme 2010-02-12 17:49:00 ----D---- C:\Tools 2010-02-12 17:31:35 ----D---- C:\WINDOWS\Minidump 2010-02-12 17:31:35 ----D---- C:\WINDOWS\Debug 2010-02-12 17:18:32 ----D---- C:\TempD 2010-02-12 16:59:16 ----SD---- C:\WINDOWS\Tasks 2010-02-12 16:59:06 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-02-12 16:59:04 ----SHD---- C:\RECYCLER 2010-02-12 16:58:54 ----D---- C:\Programme\Launch Manager 2010-02-12 16:57:29 ----A---- C:\WINDOWS\LogonStudio.ini 2010-02-12 12:33:11 ----D---- C:\WINDOWS\Prefetch 2010-02-12 12:31:27 ----D---- C:\WINDOWS\system32\de-de 2010-02-12 12:31:27 ----D---- C:\WINDOWS\inf 2010-02-12 12:31:27 ----D---- C:\WINDOWS\Help 2010-02-12 11:39:21 ----HD---- C:\WINDOWS\$hf_mig$ 2010-02-12 11:32:15 ----D---- C:\WINDOWS\system32\config 2010-02-12 11:31:07 ----D---- C:\WINDOWS\Media 2010-02-12 11:09:16 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Skype 2010-02-12 10:34:56 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\skypePM 2010-02-12 01:00:07 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\vlc 2010-02-05 15:08:46 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\dvdcss 2010-02-02 18:52:45 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Adobe 2010-02-02 10:11:19 ----SHD---- C:\WINDOWS\Installer 2010-01-28 17:58:42 ----D---- C:\UNI 01_2010 2010-01-25 15:13:53 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2010-01-22 12:24:30 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2010-01-19 14:25:01 ----D---- C:\Programme\Gemeinsame Dateien 2010-01-19 14:22:24 ----D---- C:\ProgramsCT 2010-01-16 21:11:16 ----RSD---- C:\WINDOWS\Fonts 2010-01-15 17:50:15 ----D---- C:\Programme\Windows Media Player ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\ProgramsCT\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.7.5.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-12-02 21361] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816] R2 cpuz132;cpuz132; \??\C:\WINDOWS\system32\drivers\cpuz132_x32.sys [] R2 EpmPsd;Acer EPM Power Scheme Driver; \??\C:\WINDOWS\system32\drivers\epm-psd.sys [] R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-14 88192] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059] R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2007-08-27 12288] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-02-25 3565568] R3 CAMCAUD;Conexant AMC Audio; C:\WINDOWS\system32\drivers\camcaud.sys [2004-06-25 34048] R3 CAMCHALA;CAMCHALA; C:\WINDOWS\system32\drivers\camchal.sys [2004-06-25 276480] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952] R3 DKbFltr;Dritek HotKey Keyboard Filter Driver; C:\WINDOWS\System32\Drivers\DKbFltr.sys [2004-12-08 16896] R3 LHidFlt2;Logitech HID/USB Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFlt2.Sys [2003-12-11 25630] R3 LHidUsb;Logitech USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsb.Sys [2003-12-11 37916] R3 LMouFlt2;Logitech Mouse Class Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFlt2.Sys [2003-12-11 70894] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-10-08 185824] R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-02-10 157056] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2007-07-25 2210048] R3 wacommousefilter;Wacom Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 11312] R3 wacomvhid;Wacom Virtual Hid Driver; C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2008-07-11 13352] R3 WacomVKHid;Virtual Keyboard Driver; C:\WINDOWS\system32\DRIVERS\WacomVKHid.sys [2007-02-16 11440] S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [] S1 InCDRm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [] S3 a9lypi6j;a9lypi6j; C:\WINDOWS\system32\drivers\a9lypi6j.sys [] S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800] S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2003-05-22 175360] S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-14 17024] S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-14 101120] S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-04-14 273920] S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-14 18944] S3 cpuz130;cpuz130; \??\C:\DOKUME~1\CASTOR~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [] S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys [] S3 EpmShd;Acer EPM System Hardware Driver; \??\C:\WINDOWS\system32\Drivers\epm-shd.sys [] S3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368] S3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-01-25 1038208] S3 HSFHWICH;HSFHWICH; C:\WINDOWS\system32\DRIVERS\HSFHWICH.sys [2005-01-25 207616] S3 ksaud;Creative USB Audio Driver; C:\WINDOWS\system32\drivers\ksaud.sys [2008-02-12 414464] S3 ksaudfl;ksaudfl; C:\WINDOWS\system32\drivers\ksaudfl.sys [2008-01-23 1669760] S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824] S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-14 40320] S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2004-05-14 32896] S3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\System32\DRIVERS\nscirda.sys [2008-04-14 28672] S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-14 59136] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S3 vpnva;Cisco AnyConnect VPN Virtual Miniport Adapter for Windows; C:\WINDOWS\system32\DRIVERS\vpnva.sys [2009-06-17 20152] S3 wacmoumonitor;Wacom Mode Helper; C:\WINDOWS\system32\DRIVERS\wacmoumonitor.sys [2008-10-06 15656] S3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-01-25 703616] S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\ProgramsCT\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\ProgramsCT\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-02-25 602112] R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376] R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 CTAudSvcService;Creative Audio Service; C:\Programme\Creative\Shared Files\CTAudSvc.exe [2008-04-30 417792] R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2007-10-08 794624] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-12-03 153376] R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2007-10-08 483328] R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2007-10-08 1183744] R2 TabletServiceWacom;TabletServiceWacom; C:\WINDOWS\system32\Wacom_Tablet.exe [2008-10-30 2749224] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] R2 vpnagent;Cisco AnyConnect VPN Agent; C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [2009-06-17 434864] S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-02-25 593920] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service; C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [2009-12-02 79360] S3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater; C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-07-26 25832] S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-12-03 654848] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2004-05-14 86016] -----------------EOF----------------- |
|
13.02.2010, 22:54
| #2 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Hier noch die restlichen Logs
__________________RSIT info Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2010-02-12 19:17:05
======Uninstall list======
-->"C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Program\SETUP.EXE" /s /U /W /L:GER
-->MsiExec /X{1C4551A6-4743-4093-91E4-1477CD655043}
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1EF644C7-1A0D-4B94-9AF5-AD04702094A4}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1EF644C7-1A0D-4B94-9AF5-AD04702094A4}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88C97CD1-C7C6-4CEC-B15C-F4D3E26F6A6F}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88C97CD1-C7C6-4CEC-B15C-F4D3E26F6A6F}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AAEF329E-F353-46C9-933D-24A571986093}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AAEF329E-F353-46C9-933D-24A571986093}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CC3D3A93-C433-4329-AC3A-7EFC52A332C2}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CC3D3A93-C433-4329-AC3A-7EFC52A332C2}\setup.exe" -l0x9 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7 /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee Classic-->C:\Tools\ACDSee\UNWISE.EXE C:\Tools\ACDSee\INSTALL.LOG
Acer ePowerManagement-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{58E5844B-7CE2-413D-83D1-99294BF6C74F}\Setup.exe" -l0x7
Adobe After Effects CS3 Presets-->MsiExec.exe /I{193EAFD0-1BAF-4FB4-B18F-79D5D6A4B285}
Adobe After Effects CS3-->MsiExec.exe /I{EB0202F7-016A-410C-ADE4-40F848CCC661}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe BridgeTalk Plugin CS3-->MsiExec.exe /I{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Contribute CS3-->MsiExec.exe /I{FF3E2850-BD2E-4B56-A89D-21E588D518E0}
Adobe Creative Suite 3 Master Collection hinzufügen oder entfernen-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\67a7fb1e97aa14ee9ef0950eb6fd757\Setup.exe
Adobe Creative Suite 3 Master Collection-->MsiExec.exe /I{DA896917-C1DA-45B2-B4D2-68162F16C0DD}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe Dreamweaver CS3-->MsiExec.exe /I{4AA5B8A5-BEEF-4AD8-B11D-4443A042EA4F}
Adobe ExtendScript Toolkit 2-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}
Adobe Extension Manager CS3-->MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}
Adobe Flash CS3-->MsiExec.exe /I{8C640345-AF96-4ABA-A697-97D2A0B8C6DB}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->MsiExec.exe /X{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}
Adobe Flash Video Encoder-->MsiExec.exe /I{BCEDD813-269C-4D8F-A4BA-01FDC66254D3}
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{7ACFB90E-8FD0-4397-AD3A-5195412623A3}
Adobe Illustrator CS3-->MsiExec.exe /I{C8D7A672-F697-4572-AC62-C856053A8DBC}
Adobe InDesign CS3 Icon Handler-->MsiExec.exe /I{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}
Adobe InDesign CS3-->MsiExec.exe /I{411E0CC3-587A-468C-B461-95FAFD05E4DE}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe MotionPicture Color Files-->MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->MsiExec.exe /I{D3C605D8-3A5E-4BAD-965D-2C61441BF2AC}
Adobe Premiere Pro CS3 Functional Content-->MsiExec.exe /I{50F102CA-4BE2-41A9-9810-5BB05EB91B9A}
Adobe Premiere Pro CS3 Third Party Content-->MsiExec.exe /I{485ACF57-F364-440A-8496-E1E81C8FA1AA}
Adobe Premiere Pro CS3-->MsiExec.exe /I{58DCEEE5-532E-44F4-B1D7-A146EF9E9FDA}
Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}
Adobe Setup-->MsiExec.exe /I{DFFDDCF5-CB32-4354-8823-1B9E68025953}
Adobe SING CS3-->MsiExec.exe /I{B671CBFD-4109-4D35-9252-3062D3CCB7B2}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe Video Profiles-->MsiExec.exe /I{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}
Adobe WAS CS3-->MsiExec.exe /I{C5BD220A-EFE8-48A5-B70E-9503D535FACE}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP DVA Panels CS3-->MsiExec.exe /I{0224CACC-994D-45F8-B973-D65056EA9C2F}
Adobe XMP Panels CS3-->MsiExec.exe /I{D5A31AB1-345D-47C7-A87B-036A669F6DF1}
AHV content for Acrobat and Flash-->MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Audiograbber 1.83 SE -->"C:\Tools\Audiograbber\Uninstall.exe"
Audiograbber Lame-MP3-Plugin-->"C:\Tools\Audiograbber\Lame-Uninstall.exe"
Avira AntiVir Personal - Free Antivirus-->C:\ProgramsCT\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner-->"C:\Tools\CCleaner\uninst.exe"
CINEMA 4D Release 11-->C:\WINDOWS\unvise32.exe c:\programsct\Cinema4D\MAXON\CINEMA 4D R11\uninstal_C4D.log
Cisco AnyConnect VPN Client-->MsiExec.exe /X{5F64E152-51C1-47B4-BEA8-007D73C7460F}
Conexant AC-Link Audio-->CIAunwdm.exe
CPUID HWMonitor 1.15-->"C:\Tools\HWMonitor\unins000.exe"
Creative Software AutoUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7 /remove
Creative Systeminformationen-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7 /remove
DivX Plus Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Dragon Age: Origins-->C:\Programme\Gemeinsame Dateien\BioWare\Uninstall Dragon Age.exe
FoxyTunes for Firefox-->"C:\ProgramsCT\Firefox\firefox.exe" -chrome chrome://foxytunes/content/extras/uninstallExtension.xul
Futuremark SystemInfo-->"C:\Programme\InstallShield Installation Information\{BEE64C14-BEF1-4610-8A68-A16EAA47B882}\setup.exe" -runfromtemp -l0x0009 -removeonly
Gothic II-->C:\Games\GOTHIC~1\UNWISE.EXE C:\Games\GOTHIC~1\INSTALL.LOG
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe
IsoBuster 2.4-->"C:\Tools\IsoBuster\Uninst\unins000.exe"
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Launch Manager-->C:\WINDOWS\UnInst32.exe QtZgAcer.UNI
Lexmark Software deinstallieren-->C:\Programme\Lexmark_HostCD\Install\x86\Uninstall.exe
Logitech MouseWare 9.80 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\Setup.exe" -l0x7 -l0007 UNINSTALL
LogonStudio-->C:\Tools\LOGONS~1\UNWISE.EXE C:\Tools\LOGONS~1\INSTALL.LOG
Malwarebytes' Anti-Malware-->"C:\Tools\Malwarebytes\unins000.exe"
mCore-->MsiExec.exe /I{E81667C6-2856-46D6-ABEA-6A2F42166779}
mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}
mDrWiFi-->MsiExec.exe /I{F6090A17-0967-4A8A-B3C3-422A1B514D49}
mHelp-->MsiExec.exe /I{8C6BB412-D3A8-4AAE-A01B-35B681789D68}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
mIWA-->MsiExec.exe /I{3E9D596A-61D4-4239-BD19-2DB984D2A16F}
mLogView-->MsiExec.exe /I{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}
mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}
Mozilla Firefox (3.6)-->C:\ProgramsCT\Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\ProgramsCT\Thunderbird\uninstall\helper.exe
Mp3tag v2.43-->C:\Tools\Mp3tag\Mp3tagUninstall.EXE
mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}
mPfWiz-->MsiExec.exe /I{90B0D222-8C21-4B35-9262-53B042F18AF9}
mProSafe-->MsiExec.exe /I{23FB368F-1399-4EAC-817C-4B83ECBE3D83}
mSCfg-->MsiExec.exe /I{829CD169-E692-48E8-9BDE-A3E8D8B65538}
MSXML 6.0 Parser-->MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE}
mWlsSafe-->MsiExec.exe /I{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}
mZConfig-->MsiExec.exe /I{94658027-9F16-4509-BBD7-A59FE57C3023}
Nero 7 Ultra Edition-->MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
NET Render Release 11-->C:\WINDOWS\unvise32.exe c:\programsct\cinema4d\MAXON\NET Render R11\uninstal_NET.log
NVIDIA PhysX-->MsiExec.exe /X{1C4551A6-4743-4093-91E4-1477CD655043}
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)-->"C:\WINDOWS\ie8updates\KB978207-IE8\spuninst\spuninst.exe"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SoftV92 Data Fax Modem with SmartCP-->C:\Programme\CONEXANT\CNXT_MODEM_PCI_VEN_8086&DEV_266D&SUBSYS_00661025\HXFSETUP.EXE -U -Iqta00665.inf
Sound Blaster X-Fi Surround 5.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{12BEF00E-ECFF-4820-BEDF-CCB9CC06A955}\SETUP.EXE" -l0x7 /remove
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Toolbar fuer eBay-->regsvr32 /u /s "C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll"
Total Commander (Remove or Repair)-->C:\Tools\totalcmd\tcuninst.exe
Update für Windows Internet Explorer 8 (KB978506)-->"C:\WINDOWS\ie8updates\KB978506-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VLC media player 1.0.3-->C:\ProgramsCT\VLC\uninstall.exe
VSO Image Resizer 1.0.11-->"C:\Tools\Image Resizer\unins000.exe"
Wacom Tablett-->C:\Programme\Tablet\Wacom\Remove.exe /u
Winamp-->"C:\ProgramsCT\Winamp\UninstWA.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinPcap 3.1 beta3-->"C:\Programme\WinPcap\Uninstall.exe" "C:\Programme\WinPcap\install.log"
WinRAR-->C:\Tools\WinRAR\uninstall.exe
======Security center information======
AV: AntiVir Desktop
======System event log======
Computer Name: CT
Event Code: 8021
Message: Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\DANIEL-PC" auf dem Netzwerk "\Device\NetBT_Tcpip_{4866996C-D265-4ACE-8304-5374A9664836}" erhalten.
Daten: Fehlercode.
Record Number: 1886
Source Name: BROWSER
Time Written: 20100109092724.000000+060
Event Type: Warnung
User:
Computer Name: CT
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{4866996C-D265-4ACE-8304-5374A9664836}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.
Record Number: 1885
Source Name: Tcpip
Time Written: 20100108201939.000000+060
Event Type: Informationen
User:
Computer Name: CT
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 1884
Source Name: Service Control Manager
Time Written: 20100108164548.000000+060
Event Type: Informationen
User:
Computer Name: CT
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet.
Record Number: 1883
Source Name: Service Control Manager
Time Written: 20100108164547.000000+060
Event Type: Informationen
User: CT\CastorTroy
Computer Name: CT
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".
Record Number: 1882
Source Name: Service Control Manager
Time Written: 20100108164547.000000+060
Event Type: Informationen
User:
=====Application event log=====
Computer Name: CT
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 403
Source Name: SecurityCenter
Time Written: 20091205093304.000000+060
Event Type: Informationen
User:
Computer Name: CT
Event Code: 0
Message:
Record Number: 402
Source Name: RegSrvc
Time Written: 20091205093245.000000+060
Event Type: Informationen
User:
Computer Name: CT
Event Code: 0
Message:
Record Number: 401
Source Name: EvtEng
Time Written: 20091205093244.000000+060
Event Type: Informationen
User:
Computer Name: CT
Event Code: 1
Message:
Record Number: 400
Source Name: Bonjour Service
Time Written: 20091205093243.000000+060
Event Type: Informationen
User:
Computer Name: CT
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!
Record Number: 399
Source Name: Avira AntiVir
Time Written: 20091205093237.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Tools\IsoBuster;C:\Programme\ATI Technologies\ATI.ACE\Core-Static
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0d08
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
-----------------EOF-----------------
GMER log Code:
ATTFilter
GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit quick scan 2010-02-13 15:42:21
Windows 5.1.2600 Service Pack 3
Running: 4cz2pr82.exe; Driver: C:\DOKUME~1\CASTOR~1\LOKALE~1\Temp\pxtdqpob.sys
---- System - GMER 1.0.15 ----
SSDT spne.sys ZwEnumerateKey [0xB9EC6CA2] <-- ROOTKIT !!!
SSDT spne.sys ZwEnumerateValueKey [0xB9EC7030] <-- ROOTKIT !!!
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89E417D0
Device \FileSystem\Ntfs \Ntfs 89DE41F8
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] fpujcv <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-02-13 22:03:27
Windows 5.1.2600 Service Pack 3
Running: 4cz2pr82.exe; Driver: C:\DOKUME~1\CASTOR~1\LOKALE~1\Temp\pxtdqpob.sys
---- System - GMER 1.0.15 ----
SSDT BA741B7E ZwCreateKey
SSDT BA741B74 ZwCreateThread
SSDT BA741B83 ZwDeleteKey
SSDT BA741B8D ZwDeleteValueKey
SSDT spne.sys ZwEnumerateKey [0xB9EC6CA2] <-- ROOTKIT !!!
SSDT spne.sys ZwEnumerateValueKey [0xB9EC7030] <-- ROOTKIT !!!
SSDT BA741B92 ZwLoadKey
SSDT spne.sys ZwOpenKey [0xB9EA80C0] <-- ROOTKIT !!!
SSDT BA741B60 ZwOpenProcess
SSDT BA741B65 ZwOpenThread
SSDT spne.sys ZwQueryKey [0xB9EC7108] <-- ROOTKIT !!!
SSDT spne.sys ZwQueryValueKey [0xB9EC6F88] <-- ROOTKIT !!!
SSDT BA741B9C ZwReplaceKey
SSDT BA741B97 ZwRestoreKey
SSDT BA741B88 ZwSetValueKey
SSDT BA741B6F ZwTerminateProcess
INT 0x62 ? 89DE5BF8
INT 0x63 ? 89947E08
INT 0xA4 ? 89947E08
INT 0xB4 ? 89947E08
---- Kernel code sections - GMER 1.0.15 ----
? spne.sys Das System kann die angegebene Datei nicht finden. !
.pak2 C:\WINDOWS\system32\drivers\fpujcv.sys entry point in ".pak2" section [0xB9D9018B]
? C:\WINDOWS\system32\drivers\fpujcv.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB95F4000, 0x1C5D58, 0xE8000020]
.text USBPORT.SYS!DllUnload B95D38AC 5 Bytes JMP 899473E8
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xB95B7ABF]
.text awg6p3vv.SYS B9288386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text awg6p3vv.SYS B92883AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text awg6p3vv.SYS B92883C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text awg6p3vv.SYS B92883C9 1 Byte [2E]
.text awg6p3vv.SYS B92883C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spne.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spne.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spne.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spne.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spne.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB9048] spne.sys
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!KfRaiseIrql] 8B000000
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!KfLowerIrql] 56C35DE5
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
IAT \SystemRoot\System32\Drivers\awg6p3vv.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89E417D0
Device \FileSystem\Ntfs \Ntfs 89DE41F8
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\usbuhci \Device\USBPDO-0 898F3368
Device \Driver\usbuhci \Device\USBPDO-1 898F3368
Device \Driver\usbuhci \Device\USBPDO-2 898F3368
Device \Driver\usbuhci \Device\USBPDO-3 898F3368
Device \Driver\usbehci \Device\USBPDO-4 89A304B8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89E511F8
Device \Driver\Cdrom \Device\CdRom0 89A5C500
Device \Driver\PCI_PNP8570 \Device\00000059 spne.sys
Device \Driver\Cdrom \Device\CdRom1 89A5C500
Device \Driver\atapi \Device\Ide\IdePort0 [B9CD5B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [B9CD5B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [B9CD5B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBT_Tcpip_{4866996C-D265-4ACE-8304-5374A9664836} 898531F8
Device \Driver\sptd \Device\3516811070 spne.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 898531F8
Device \Driver\NetBT \Device\NetbiosSmb 898531F8
Device \Driver\usbuhci \Device\USBFDO-0 898F3368
Device \Driver\usbuhci \Device\USBFDO-1 898F3368
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89A392E8
Device \Driver\usbuhci \Device\USBFDO-2 898F3368
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89A392E8
Device \Driver\usbuhci \Device\USBFDO-3 898F3368
Device \Driver\usbehci \Device\USBFDO-4 89A304B8
Device \Driver\Ftdisk \Device\FtControl 89E511F8
Device \Driver\awg6p3vv \Device\Scsi\awg6p3vv1Port1Path0Target0Lun0 898FD500
Device \Driver\awg6p3vv \Device\Scsi\awg6p3vv1 898FD500
Device \FileSystem\Cdfs \Cdfs 8993E500
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] fpujcv <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b6b916a28
Reg HKLM\SYSTEM\CurrentControlSet\Services\fpujcv@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\fpujcv@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\fpujcv@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\fpujcv@Group Boot Bus Extender
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Tools\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE8 0xAB 0x75 0x7B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xAF 0xF0 0xC8 0x15 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCF 0xED 0x36 0x1D ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000b6b916a28 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\fpujcv@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\fpujcv@Start 0
Reg HKLM\SYSTEM\ControlSet003\Services\fpujcv@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\fpujcv@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Tools\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE8 0xAB 0x75 0x7B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xAF 0xF0 0xC8 0x15 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCF 0xED 0x36 0x1D ...
---- EOF - GMER 1.0.15 ----
|
|
16.02.2010, 14:11
| #3 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Ich habe natürlich mit Hilfe des Forums noch etwas weiter probiert und immer wiedermal geprüft, vorallem die Daten die ich gerne noch sichern würde bevor ich neu aufsetze. Bei der Überprüfung des Thunderbird Ordners den man unter Anwendungsdaten findet, hat Avira Antivir folgendes ausgespuckt (siehe unten Thunderbird Bericht)... ist das normal? Es sind insgesamt 364 Viren, die jetzt nicht alle im Bericht aufgezählt sind, weil der sonst viel zu lang wäre, aber handelt es sich dabei evt. um Lerndaten oder so etwas ähnliches?
__________________Was hat sich sonst noch getan: Ich kann den Rootkit.gen Virus nicht mehr finden, egal ob mit Malwarebytes, SuperAntiSpyware, Antivir, keines der Programme kann den Virus mehr finden. Da ich ihn aber auch nicht gelöscht habe, frage ich mich wo der hin ist, hat er sich versteckt, irgendwie getarnt? Während des Suchlaufes mit Malwarebytes findet Antivir plötzlich einen Virus den es bei einem normalen Suchlauf nicht findet: Neuer Virus Bericht Code:
ATTFilter In der Datei 'C:\System Volume Information\_restore{210277F5-F59B-408E-B046-A128D119C9E4}\RP3\A0000108.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.FraudLoad.wybv.3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
In der Datei 'C:\System Volume Information\_restore{210277F5-F59B-408E-B046-A128D119C9E4}\RP3\A0000107.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.FraudLoad.wybv.3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YIBM4LTP\68adv[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.FraudLoad.wybv.3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Thunderbird Bericht Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 14. Februar 2010 17:15
Es wird nach 1751559 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : CastorTroy
Computername : CT
Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 21:23:31
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:11:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:09:01
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 14:09:01
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 14:09:01
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 14:09:01
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 14:09:01
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 14:09:01
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 14:09:02
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 14:09:02
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 14:09:26
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 14:09:26
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 14:09:26
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 14:09:40
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 14:09:47
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 15:22:15
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 15:53:12
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 07:44:58
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 07:44:59
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 07:44:20
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 07:46:08
VBASE022.VDF : 7.10.4.31 2048 Bytes 11.02.2010 07:46:08
VBASE023.VDF : 7.10.4.32 2048 Bytes 11.02.2010 07:46:08
VBASE024.VDF : 7.10.4.33 2048 Bytes 11.02.2010 07:46:08
VBASE025.VDF : 7.10.4.34 2048 Bytes 11.02.2010 07:46:08
VBASE026.VDF : 7.10.4.35 2048 Bytes 11.02.2010 07:46:08
VBASE027.VDF : 7.10.4.36 2048 Bytes 11.02.2010 07:46:08
VBASE028.VDF : 7.10.4.37 2048 Bytes 11.02.2010 07:46:08
VBASE029.VDF : 7.10.4.38 2048 Bytes 11.02.2010 07:46:09
VBASE030.VDF : 7.10.4.39 2048 Bytes 11.02.2010 07:46:09
VBASE031.VDF : 7.10.4.45 70656 Bytes 12.02.2010 11:08:05
Engineversion : 8.2.1.160
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 14:11:58
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02.02.2010 14:09:52
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 14:10:48
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 02.12.2009 21:23:59
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 13:20:36
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 06.02.2010 15:53:16
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 13:20:28
AEGEN.DLL : 8.1.1.86 369012 Bytes 02.02.2010 14:09:51
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.11.1 184694 Bytes 02.02.2010 14:09:49
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\CASTOR~1\LOKALE~1\Temp\c8c253a5.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Sonntag, 14. Februar 2010 17:15
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\TempD'
C:\TempD\Thunderbird\Profiles\wend3h2q.default\Mail\pop.unet.univie.ac.at\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <45B4E298.1040307@3dee.nl>][From: Bart <yofscw@3dee.nl>][Subject: The Mood for Love]146.mim
[1] Archivtyp: MIME
--> postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.K
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\TempD\Thunderbird\Profiles\wend3h2q.default\Mail\pop.unet.univie.ac.at\Junk
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <45B4E298.1040307@3dee.nl>][From: Bart <yofscw@3dee.nl>][Subject: The Mood for Love]2.mim
[1] Archivtyp: MIME
--> postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.K
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\TempD\Thunderbird\Profiles\wend3h2q.default\Mail\pop3.setadesign.hosting-kunde.net\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Fur alle Sparkassen Kunden][From: "Sicherheitsteam der Sparkasse" <zfd@kavner.fre][Message-ID: <1GK0ex-000GW6-JC@DHCP-74-132-87-13.insightbb.c]560.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Subject: Neues Sparkassensicherheitssystem!][From: "Sparkasse Finance" <sparkassebanking@t-online.][Message-ID: <1GZpK6-000OYX-75@dyndsl-085-016-165-217.ewe-ip]732.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <459653AE.2090004@horror.dsip.net>][From: paunch <uhde@horror.dsip.net>][Subject: May Your Dreams Come True!]1138.mim
[1] Archivtyp: MIME
--> Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45969A54.5090309@bjf.netbeston.com>][From: bummer <zgryy@bjf.netbeston.com>][Subject: Happy 2007!]1140.mim
[1] Archivtyp: MIME
--> greeting postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45971AF7.3080300@hain.de>][From: tragically <tiasdt@hain.de>][Subject: Fun 2007!]1142.mim
[1] Archivtyp: MIME
--> Greeting Card.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <459772E7.8060303@roykellettcaravans.com>][From: inequality <boaxqv@roykellettcaravans.com>][Subject: Warm New Year Hug!]1144.mim
[1] Archivtyp: MIME
--> Greeting Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45B054F2.6010307@hensonhotel.co.uk>][From: Portia <rel@hensonhotel.co.uk>][Subject: 230 dead as storm batters Europe.]1336.mim
[1] Archivtyp: MIME
--> Full Video.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.dam
--> Mailbox_[Message-ID: <45B160AB.1010600@studiotta.it>][From: Edgar Jimenez <fhnmb@studiotta.it>][Subject: Naked teens attack home director.]1346.mim
[1] Archivtyp: MIME
--> Video.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.DBY
--> Mailbox_[Message-ID: <45B21B68.6080100@www.twin-wave.co.jp>][From: Farris Gideon <crqg@www.twin-wave.co.jp>][Subject: Russian missle shot down Chinese satellite]1348.mim
[1] Archivtyp: MIME
--> Full News.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.DBY
--> Mailbox_[Message-ID: <45B22485.9020706@guisc.com>][From: regional <uod@guisc.com>][Subject: The Supreme Court has been attacked by terroris]1350.mim
[1] Archivtyp: MIME
--> Video.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.DBY
--> Mailbox_[Message-ID: <45B26F66.6030503@concord.lake.oh.us>][From: Cora F.Lloyd <jzkih@concord.lake.oh.us>][Subject: Russian missle shot down USA aircraft]1352.mim
[1] Archivtyp: MIME
--> Full Video.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.G
--> Mailbox_[Message-ID: <45B27F89.6020306@mjpmusic.co.uk>][From: contend <elllc@mjpmusic.co.uk>][Subject: Chinese missile shot down USA satellite]1354.mim
[1] Archivtyp: MIME
--> Full Text.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.G
--> Mailbox_[Message-ID: <45B300BC.8050201@nobleco.com>][From: Grady Nikola <urq@nobleco.com>][Subject: Third World War just have started!]1356.mim
[1] Archivtyp: MIME
--> Full Clip.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.G
--> Mailbox_[Message-ID: <45B4C5BA.8000906@tateboys.com>][From: Johnny B.Fitzpatrick <tjcixh@tateboys.com>][Subject: Fidel Castro dead.]1358.mim
[1] Archivtyp: MIME
--> Video.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.DBZ.1
--> Mailbox_[Message-ID: <45B7A3D5.1060803@dccraf.demon.co.uk>][From: Ophelia I.Terry <meltks@dccraf.demon.co.uk>][Subject: My Eye on You]1378.mim
[1] Archivtyp: MIME
--> Flash Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Q
--> Mailbox_[Message-ID: <45BBCF69.7080405@oseoclic.fr>][From: Jem Raymond <yrgp@oseoclic.fr>][Subject: Till Morninig's Light]1412.mim
[1] Archivtyp: MIME
--> Flash Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Message-ID: <45BC92CE.7020403@landtruck.com>][From: Haney <ymr@landtruck.com>][Subject: Forever and Ever]1414.mim
[1] Archivtyp: MIME
--> greeting card.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Message-ID: <45BECECE.8010405@office.city.kobe.jp>][From: Bert H.Thornton <zaundz@office.city.kobe.jp>][Subject: Feeling Horny?]1422.mim
[1] Archivtyp: MIME
--> flash postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Message-ID: <45C39E34.9040002@europartners.com.cy>][From: Archibald U.Kramer <tcb@europartners.com.cy>][Subject: You and I]1448.mim
[1] Archivtyp: MIME
--> flash postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Message-ID: <45C6AAEF.7030401@lb-cpa.com>][From: Dodson T.Sol <kirq@lb-cpa.com>][Subject: A Kiss for You]1454.mim
[1] Archivtyp: MIME
--> postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Message-ID: <45C57568.6010806@lianrui.net>][From: viewer <wdtnr@lianrui.net>][Subject: In My Heart]1456.mim
[1] Archivtyp: MIME
--> flash postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Message-ID: <45C661CF.5080203@e-chatka.pl>][From: Noel Arias <ocdmt@e-chatka.pl>][Subject: A Sweet Love]1460.mim
[1] Archivtyp: MIME
--> greeting card.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Message-ID: <45C77F35.5010109@fetish-film.ch>][From: Clementina <bdmpz@fetish-film.ch>][Subject: Let's Get Frisky]1466.mim
[1] Archivtyp: MIME
--> Flash Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.AA.2
--> Mailbox_[Message-ID: <45C7988D.5060007@daanits.com>][From: Susy Chandler <fksibx@daanits.com>][Subject: Brand New Love]1468.mim
[1] Archivtyp: MIME
--> greeting postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.AA.2
--> Mailbox_[Message-ID: <45CB3454.4040404@icadweb.com>][From: Dye <wdyq@icadweb.com>][Subject: Wish I Could Tell You]1500.mim
[1] Archivtyp: MIME
--> Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.AA.2
--> Mailbox_[Message-ID: <45CB7D27.7090109@anyang.go.kr>][From: Reynolds D.Nance <hldsju@anyang.go.kr>][Subject: Every Inch of Your Body]1502.mim
[1] Archivtyp: MIME
--> postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.AA.2
--> Mailbox_[Message-ID: <45CB8E06.6090402@volcanoessafaris.com>][From: Andrade <izx@volcanoessafaris.com>][Subject: Our Love Everyday]1504.mim
[1] Archivtyp: MIME
--> Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.AA.2
--> Mailbox_[Message-ID: <45D2ABDA.8090806@disbaseholding.com>][From: Woods <jcszfw@disbaseholding.com>][Subject: Valentine Letter]1610.mim
[1] Archivtyp: MIME
--> Greeting Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.AF
--> Mailbox_[Message-ID: <45A4B6C5.7000602@awwwskeetskeet.com>][From: Leonard G.Mcdermott <alkwb@awwwskeetskeet.com>][Subject: A Valentine Love Song]1612.mim
[1] Archivtyp: MIME
--> greeting postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.AF
--> Mailbox_[Message-ID: <01c86935$5036a200$f4c3b352@wlbbcoqarxux>][From: "Volksbanken Raiffeisenbanken" <shrt.vr@vr-netw][Subject: Volksbanken Raiffeisenbanken]15528.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Volksbank.E
--> Mailbox_[Message-ID: <01c86a8d$aae31180$35a4e8c9@yjjyvmxk>][From: "Volksbanken Raiffeisenbanken" <shrt.vr@vr-netw][Subject: Volksbanken Raiffeisenbanken]15716.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Volksbank.E
--> Mailbox_[Message-ID: <20080805094155.4696.qmail@new2>][Subject: Anjelina Jolie Free Video.][From: <vogel.dieter@setadesign.net>]34520.mim
[1] Archivtyp: MIME
--> Angelina_Jolie.rar
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aafc
--> Mailbox_[From: CNN Alerts <julio-tertroll@mytributecard.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080809055208.4AD154EF4027@mail.3.setadesign.]34868.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <may-lajiinsa@bdg.net>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080809151145.406574EF4027@mail.3.setadesign.]34904.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <redieldg1981@priorlake.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080810082131.91F134EF4027@mail.3.setadesign.]34974.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <otsaa1983@robin.co.uk>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080810134159.329024EF4027@mail.3.setadesign.]34994.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <legibly2007@tummers.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080810194942.215D44EF4027@mail.3.setadesign.]35018.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <gergely-uitloopb@southmountainyacht][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080811110907.56D494EF4027@mail.3.setadesign.]35058.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <sepreh2001@currinlaw.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080811151912.773634EF4027@mail.3.setadesign.]35076.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <ijzel@bnpgames.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080811215707.73AF64EF4027@mail.3.setadesign.]35100.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <'ne'isez1954@circlebmarketing.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080812021918.6A8C54EF402A@mail.3.setadesign.]35116.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: CNN Alerts <tsutaeuk_2004@spz.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080812113257.136044EF4027@mail.3.setadesign.]35152.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/cnn.A
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/cnn.A
--> Mailbox_[From: CNN Alerts <regm@commandcontrols.com>][Subject: CNN Alerts: My Custom Alert][Message-ID: <20080812124351.06F9B4EF4033@mail.3.setadesign.]35158.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/cnn.A
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/cnn.A
--> Mailbox_[From: CNN Alerts <onapell|1956@arthurbarnett.co.nz>][Subject: CNN Alerts: Breaking news][Message-ID: <20080812193535.F2B9E4EF4027@mail.3.setadesign.]35190.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/cnn.A
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/cnn.A
--> Mailbox_[Message-ID: <000801c8fd28$13372780$d7b01abe@nombrecdc5bbbf][From: MSNBC Breaking News <sonly1953@aluvsa.n][Subject: msnbc.com - BREAKING NEWS: Abortion made illega]35240.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.A
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.A
--> Mailbox_[Message-ID: <000a01c8fd60$1510f620$3d31c575@admin4a4af2c19][From: MSNBC Breaking News <ammagnat1995@tensh][Subject: msnbc.com - BREAKING NEWS: West Nile virus spre]35274.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.A
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.A
--> Mailbox_[Message-ID: <000d01c8e519$6de42330$5018204f@usera3e00f68ef][From: MSNBC Breaking News <EYVAZ-rnooiden@pri][Subject: msnbc.com - BREAKING NEWS: Europeans dislike Am]35286.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> Mailbox_[Message-ID: <000901c8fd94$536e64f0$477e63d4@4cmo>][From: MSNBC Breaking News <Johnnty-suceohr@23][Subject: msnbc.com - BREAKING NEWS: West Nile virus spre]35298.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> Mailbox_[Message-ID: <000d01c8fdbf$dc3ceba0$f60390be@WSGIRALT>][From: MSNBC Breaking News <Lalit-reuses@evert][Subject: msnbc.com - BREAKING NEWS: Google launches free]35314.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> Mailbox_[Message-ID: <20080814122900.2789.qmail@comp1>][Subject: Download Free !][From: admin@microsoft.com <vogel.dieter@setadesign.ne]35324.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.C
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.C
--> Mailbox_[Message-ID: <000a01c8fddf$97e76dc0$3a51c87b@1>][From: MSNBC Breaking News <cacumina_1969@kmcs][Subject: msnbc.com - BREAKING NEWS: Extreme Home Makeove]35332.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> Mailbox_[Message-ID: <000a01c8fe27$8a1571e0$e24c16be@GEARFAMILIA>][From: MSNBC Breaking News <Ditte-nondefer@cer][Subject: msnbc.com - BREAKING NEWS: Even The New Yorker ]35406.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.B
--> Mailbox_[Message-ID: <000701c8fe33$f62fe3e0$d16c09be@SERVIDOR>][From: MSNBC Breaking News <Elaheh-noyakauc@69][Subject: msnbc.com - BREAKING NEWS: Royals Become First ]35418.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <001201c8fe35$79221e20$4ba17a59@cristim>][From: MSNBC Breaking News <row-shot@riks.su>][Subject: msnbc.com - BREAKING NEWS: Even The New Yorker ]35424.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.D
--> file0.html
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSNBC.D
--> Mailbox_[Message-ID: <000d01c8feaa$d2ef9070$1b0aa97a@SLPL>][From: MSNBC Breaking News <llovrebu1991@mauio][Subject: msnbc.com - BREAKING NEWS: DEFENSE CHIEF WARNS ]35494.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <000601c8fec5$01b85850$eb62fa42@SERVER>][From: MSNBC Breaking News <Fawn-vij|ille@walt][Subject: msnbc.com - BREAKING NEWS: REPORTER SHOT IN GEO]35516.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <001001c8ff03$539c8310$9b6bef60@13176550w9ox7c][From: MSNBC Breaking News <Dano-n{{ssill@ultr][Subject: msnbc.com - BREAKING NEWS: Britney Spears And M]35576.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <000601c8ff91$68bd8210$71df3ac8@EDITORIAL>][From: MSNBC Breaking News <gueuses1963@burlaw][Subject: msnbc.com - BREAKING NEWS: "brainstorming" To B]35578.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <001001c8ff7c$615531e0$c9238847@Sales>][From: MSNBC Breaking News <nannette-vokajleb@][Subject: msnbc.com - BREAKING NEWS: Bush Claims He Has S]35632.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <000f01c8ffe2$d22f34e0$0ad2b34e@trfa20d324f3f5][From: MSNBC Breaking News <0pecos_1991@access][Subject: msnbc.com - BREAKING NEWS: Sex With Robots. vid]35688.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <000a01c8ffe5$2861f080$427845c9@client>][From: MSNBC Breaking News <vorieten1958@gomes][Subject: msnbc.com - BREAKING NEWS: Bulimia Not The Same]35690.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Message-ID: <01c904cb$17be7600$40c4d98e@kcvx>][From: "Ashley Spaulding" <kcvx@br1.com>][Subject: Statement of fees 2008 09]36550.mim
[1] Archivtyp: MIME
--> Fees_2008-2009.zip
[2] Archivtyp: ZIP
--> Fees_2008-2009.doc______________.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.adtj
--> Mailbox_[Message-ID: <0e511ca3$615dc2bb$3cdf79bf@jrypm>][From: "jrypm" <jrypm@bnf.com>][Subject: Funbags]38108.mim
[1] Archivtyp: MIME
--> movie.rar
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> movie.avi.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <19f033e1$62dcc5b9$3dc47b89@terada>][From: "terada" <terada@equinoxresort.com>][Subject: Great video!]38172.mim
[1] Archivtyp: MIME
--> video.zip
[2] Archivtyp: ZIP
--> Video.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <33916723$7a9af535$33f267e5@nvibqkcie>][From: "nvibqkcie" <nvibqkcie@bobbittville.com>][Subject: Funny games!]38272.mim
[1] Archivtyp: MIME
--> video.zip
[2] Archivtyp: ZIP
--> Video.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <12f825f1$2147428f$3fb97f73@terevaqo>][From: "terevaqo" <terevaqo@yahoo.es>][Subject: POpular Reality Network O!]38456.mim
[1] Archivtyp: MIME
--> click2.zip
[2] Archivtyp: ZIP
--> Click.Me.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <6504ca09$09ce139d$635bc6b7@hmwnhephu>][From: "hmwnhephu" <hmwnhephu@bobbycharltonsoccerschoo][Subject: Bitch!]38692.mim
[1] Archivtyp: MIME
--> click2.zip
[2] Archivtyp: ZIP
--> Click.Me.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <93391.elroy@jethroh> ][From: "ICS Monitoring Team" <johnsmith@collectcorp.co][Subject: Your internet access is going to get suspended]38804.mim
[1] Archivtyp: MIME
--> user-EA49943X-activities.zip
[2] Archivtyp: ZIP
--> user-EA49943X-activities.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Goldun.axt
--> Mailbox_[Message-ID: <67fbcff7$1e853d0b$416a82d5@bdjktaos>][From: "bdjktaos" <bdjktaos@bradnersmith.com>][Subject: So cute!]38910.mim
[1] Archivtyp: MIME
--> start.zip
[2] Archivtyp: ZIP
--> Start.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <2c8d591b$16c32d87$63f1c7e3@icmvy>][From: "icmvy" <icmvy@bradley-parker.com>][Subject: Stars are blind! Watch this.]38938.mim
[1] Archivtyp: MIME
--> start.zip
[2] Archivtyp: ZIP
--> Start.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <419b8337$6c02d805$3c997933@tenchi>][From: "tenchi" <tenchi@quepasa.com>][Subject: How Sun loves...]39002.mim
[1] Archivtyp: MIME
--> start.zip
[2] Archivtyp: ZIP
--> Start.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <5a64b4c9$181f303f$667cccf9@tequilla19>][From: "tequilla19" <tequilla19@hotmail.com>][Subject: Dare to see!]39062.mim
[1] Archivtyp: MIME
--> start.zip
[2] Archivtyp: ZIP
--> Start.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <210c4219$3c447889$40918123@cavfsyqdeoa>][From: "cavfsyqdeoa" <cavfsyqdeoa@blpmobilepaint.com>][Subject: Stars are blind! Watch this.]39124.mim
[1] Archivtyp: MIME
--> start.zip
[2] Archivtyp: ZIP
--> Start.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
--> Mailbox_[Message-ID: <56050.bichnga@herbert> ][From: "ICS Monitoring Team" <reguera@las.es> ][Subject: Your internet access is going to get suspended]39238.mim
[1] Archivtyp: MIME
--> user-EA49943X-activities.zip
[2] Archivtyp: ZIP
--> user-EA49943X-activities.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Goldun.axt
--> Mailbox_[Message-ID: <10739.rhona@debra> ][From: "123greetings.com" <ortezcortezs@maxleather.com][Subject: You have received an eCard]39454.mim
[1] Archivtyp: MIME
--> e-card.zip
[2] Archivtyp: ZIP
--> e-card.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Goldun.RS
--> Mailbox_[Message-ID: <29269.shaw@herbie> ][From: "123greetings.com" <ajipsion@pannet.pa> ][Subject: You have received an eCard]39872.mim
[1] Archivtyp: MIME
--> ecard.zip
[2] Archivtyp: ZIP
--> ecard.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Mailbox_[Message-ID: <39707.songnian@barton> ][From: "ICS Monitoring Team" <admin@burleyfoods.com> ][Subject: Your internet access is going to get suspended]40218.mim
[1] Archivtyp: MIME
--> user-EA49943X-activities.zip
[2] Archivtyp: ZIP
--> user-EA49943X-activities.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Mailbox_[Message-ID: <15101.boozie@kendal> ][From: "greetingcard.org" <silva@ventomin.com> ][Subject: You have received an Greeting eCard]40488.mim
[1] Archivtyp: MIME
--> ecard.zip
[2] Archivtyp: ZIP
--> ecard.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
--> Mailbox_[Message-ID: <79968.molly@chun> ][From: "greetingcard.org" <simon.troup@digitalmusicart][Subject: You have received an Greeting eCard]40490.mim
[1] Archivtyp: MIME
--> ecard.zip
[2] Archivtyp: ZIP
--> ecard.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
--> Mailbox_[Message-ID: <27537.fabrice@jimmy> ][From: "aylmar conrad" <bmin@osceola.org> ][Subject: Important document for 49]40580.mim
[1] Archivtyp: MIME
--> doc.zip
[FUND] Ist das Trojanische Pferd TR/Spy.Goldun.NDS
--> Mailbox_[Message-ID: <25387.bas@bor-wen> ][From: "benoit jephthah" <sqlmail@web-sites.com> ][Subject: You have received an Greeting eCard]40696.mim
[1] Archivtyp: MIME
--> ecard.zip
[2] Archivtyp: ZIP
--> ecard.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Mailbox_[Message-ID: <000701c926a6$0478f7ae$a3544baa@hpfshynt>][From: "ewan thomas" <django@hawaii.com>][Subject: New Bill for vogel.dieter.]40928.mim
[1] Archivtyp: MIME
--> bill03.zip
[FUND] Ist das Trojanische Pferd TR/Dldr.JKYT
--> Mailbox_[Message-ID: <96455.curt@berchmans> ][From: "goddart hok" <rlkijzkgkjwdlwpbmfp@medh.org.ar>][Subject: Angelina Jolie Free Video]41026.mim
[1] Archivtyp: MIME
--> video.zip
[2] Archivtyp: ZIP
--> video.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Mailbox_[Message-ID: <47883.keir@wilfred> ][From: "levy shimon" <blairnn@optometry.net> ][Subject: Angelina Jolie Free Video]41114.mim
[1] Archivtyp: MIME
--> video.zip
[2] Archivtyp: ZIP
--> video.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Mailbox_[Message-ID: <39409.radley@janna> ][From: "davoud jabez" <bpf@adhoc.net> ][Subject: New anjelina jolie sex scandal]42012.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[Message-ID: <54771.mauro@hernando> ][From: "chalmers woodrow" <a.baker@acs-wa.com> ][Subject: New anjelina jolie sex scandal]42014.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[Message-ID: <54377.shaun@cosmo> ][From: "galven vyvyan" <tkawasakid@ibmbcs.co.jp> ][Subject: New anjelina jolie sex scandal]42094.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[Message-ID: <44643.cornelius@brook> ][From: "harrold piers" <m.eligh@ep-i.com> ][Subject: New anjelina jolie sex scandal]42178.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[Message-ID: <89665.priscilla@desmond> ][From: "ker poh" <vmhmi@ovimo.com> ][Subject: New anjelina jolie sex scandal]42238.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[Message-ID: <82261.chisheng@luong> ][From: "aguinaldo roderick" <hblair@bucknell.edu> ][Subject: New anjelina jolie sex scandal]42308.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[Message-ID: <18139.patti@ervan> ][From: "kaleb cliff" <lifelong@magicnet.mn> ][Subject: New anjelina jolie sex scandal]42364.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[From: "Dustin Kay" <nbxswfafijo@brandau.com>][Message-ID: <801978486.31230150706639@brandau.com>][Subject: Statement January - October]42426.mim
[1] Archivtyp: MIME
--> Report_January-October.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Report_January-October.doc .exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
--> Mailbox_[Message-ID: <50774.daniel@ewart> ][From: "leupold borromeo" <paulc@genesis-microchip.com][Subject: New anjelina jolie sex scandal]42448.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[Message-ID: <16856.eloise@hoa> ][From: "francisco axel" <lwalker@journalsentinel.com> ][Subject: New anjelina jolie sex scandal]42562.mim
[1] Archivtyp: MIME
--> anjelina_video.zip
[2] Archivtyp: ZIP
--> anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.HC
--> Mailbox_[From: "Karla Kirkland" <jhy@bnds.com>][Subject: Attached Statement][Message-ID: <01c936dd$a1faa480$6e017461@jhy>]42796.mim
[1] Archivtyp: MIME
--> Report_January-October.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Report_January-October.doc .exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Mailbox_[Message-ID: <35832.no l@ojrind> ][From: "123greetings.com" <info@theologische.ch> ][Subject: You have received an eCard]43154.mim
[1] Archivtyp: MIME
--> ecard.zip
[2] Archivtyp: ZIP
--> ecard.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.frh
--> Mailbox_[Message-ID: <01c93a69$049aca00$12e31d3b@flf>][From: "Sherri Queen" Southwest Airlines <flf@bochstor][Subject: New ticket #44845]43326.mim
[1] Archivtyp: MIME
--> #332_ticket.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Mailbox_[From: "Elise Wagner" <nfynkuuet@bpeat.com>][Subject: Your Tracking # 64321319 (NO-REPLY)][Message-ID: <01c93a85$dbd4fd80$292d8973@nfynkuuet>]43346.mim
[1] Archivtyp: MIME
--> Invoice#4157.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Invoice#4157.doc .exe
[FUND] Ist das Trojanische Pferd TR/Agent.akxw.2
--> Mailbox_[Message-ID: <17511.pradeep@birget> ][From: "gay dalu" <elehuerou@free.fr> ][Subject: You have received an eCard]43518.mim
[1] Archivtyp: MIME
--> card.zip
[2] Archivtyp: ZIP
--> card.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Mailbox_[From: "PayPal" service@intl.paypal.x.com][Subject: PayPal introduced a new system of identificatio][Message-ID: <01c93dbe$8f0f6080$5998ff54@sgbkevlla>]43806.mim
[1] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Alonzo Putnam" <fovdkgudbifs@bobicks.com>][Subject: the keys of activation][Message-ID: <01c93e11$230a1800$eb7d2b56@fovdkgudbifs>]43864.mim
[1] Archivtyp: MIME
--> active_keys.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> active_keys.doc .exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Exchanger.W
--> Mailbox_[Message-ID: <01c93eb2$89934280$3e1d3c97@hfrtt>][From: "Manuela Silver" <hfrtt@brandenburch.com>][Subject: The Activation Keys]43944.mim
[1] Archivtyp: MIME
--> active_key.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> active_keys.doc .exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Mailbox_[Message-ID: <01c93fa5$947acf80$13f21755@pgfiemtbcy>][From: "Evangeline Mcpherson" <pgfiemtbcy@blockinterac][Subject: The Activation Keys]44054.mim
[1] Archivtyp: MIME
--> new_activation_keys.zip
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> new_activation_keys.doc .exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Mailbox_[Message-ID: <97074.balkrish@pradeep> ][From: "Monitoring Team" <fronau@data-now.com> ][Subject: Your internet access is going to get suspended]44226.mim
[1] Archivtyp: MIME
--> user-EA49945X-activities.zip
[2] Archivtyp: ZIP
--> user-EA49945X-activities.exe
[FUND] Ist das Trojanische Pferd TR/Drop.HeadJoe.O
--> Mailbox_[Message-ID: <52041.gopinath@patti> ][From: "ingamar bienveni" <dalton@canaan.com> ][Subject: Barak Obama sex scandal]44538.mim
[1] Archivtyp: MIME
--> zeland-01.zip
[2] Archivtyp: ZIP
--> obama_video.exe
[FUND] Ist das Trojanische Pferd TR/Drop.HeadJoe.O
--> Mailbox_[Message-ID: <000d01c9aea7$c32ff000$6400a8c0@healpuq93>][From: "Walker Covington" <healpuq93@spirit-wings.com>][Subject: DHL Tracking number #89G2I75145H32NL]57680.mim
[1] Archivtyp: MIME
--> dhl_n756512.zip
[2] Archivtyp: ZIP
--> dhl_n756512.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Mailbox_[From: "Mildred Wright" <hary-vaqueren@5pmweb.com>][Message-ID: <899099643.93241467330990@5pmweb.com>][Subject: WorldPay CARD transaction Confirmation]61724.mim
[1] Archivtyp: MIME
--> WorldPay_TRANS_8651.zip
[2] Archivtyp: ZIP
--> WorldPay_TRANS_8651.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.66560
--> Mailbox_[Message-ID: <000d01c9d3d5$c4552920$6400a8c0@teogsql>][From: "Western Union Support Team" <support@westernun][Subject: Western Union Transfer MTCN: 9797612554]66912.mim
[1] Archivtyp: MIME
--> MTCN_87723.zip
[2] Archivtyp: ZIP
--> MTCN_87723.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.kaf
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\TempD\Thunderbird\Profiles\wend3h2q.default\Mail\pop3.setadesign.hosting-kunde.net\Junk
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <459653AE.2090004@horror.dsip.net>][From: paunch <uhde@horror.dsip.net>][Subject: May Your Dreams Come True!]232.mim
[1] Archivtyp: MIME
--> Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45969A54.5090309@bjf.netbeston.com>][From: bummer <zgryy@bjf.netbeston.com>][Subject: Happy 2007!]234.mim
[1] Archivtyp: MIME
--> greeting postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45971AF7.3080300@hain.de>][From: tragically <tiasdt@hain.de>][Subject: Fun 2007!]236.mim
[1] Archivtyp: MIME
--> Greeting Card.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <459772E7.8060303@roykellettcaravans.com>][From: inequality <boaxqv@roykellettcaravans.com>][Subject: Warm New Year Hug!]238.mim
[1] Archivtyp: MIME
--> Greeting Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45B054F2.6010307@hensonhotel.co.uk>][From: Portia <rel@hensonhotel.co.uk>][Subject: 230 dead as storm batters Europe.]376.mim
[1] Archivtyp: MIME
--> Full Video.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.dam
--> Mailbox_[Message-ID: <45B160AB.1010600@studiotta.it>][From: Edgar Jimenez <fhnmb@studiotta.it>][Subject: Naked teens attack home director.]382.mim
[1] Archivtyp: MIME
--> Video.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.DBY
--> Mailbox_[Message-ID: <45B21B68.6080100@www.twin-wave.co.jp>][From: Farris Gideon <crqg@www.twin-wave.co.jp>][Subject: Russian missle shot down Chinese satellite]384.mim
[1] Archivtyp: MIME
--> Full News.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.DBY
Ende des Suchlaufs: Sonntag, 14. Februar 2010 17:39
Benötigte Zeit: 23:24 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
566 Verzeichnisse wurden überprüft
441893 Dateien wurden geprüft
364 Viren bzw. unerwünschte Programme wurden gefunden
190 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
441339 Dateien ohne Befall
169823 Archive wurden durchsucht
6 Warnungen
0 Hinweise
|
|
18.02.2010, 17:07
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Hallo und  Manche Stränge werden leider übersehen. Ich orientiere mich immer an "Unbeantwortet", wenn Du also selbst auf Deinen Strang antwortest, erscheint der eben nicht mehr als unbeantwortet  Bitte mal den Avenger anwenden 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Zitat-Feld: Zitat:
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
18.02.2010, 20:02
| #5 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Erstmals juhuuu danke für die Antwort  , ehrlich gesagt habe ich an deinen Einwand auch schon gedacht.Ok ich habe den Avenger laufen lassen und gleich anschliessend Malewarebytes drübergeschickt. Leider habe ich den avenger log nicht unter einem anderen Namen gespeichert und ich denke, darum war er beim nächsten Neustart auch wieder weg. Alle Atxx jobs task hat er aber gelöscht. Ich habe den Avenger nochmal laufen lassen, weiß nicht ob diese Ergebnisse noch irgendetwas aussagen. Malewarebytes hat dann auch wieder 2 Vira in der System Volume information gefunden. Wie soll ich jetzt weiter vorgehen? Konnte das Rootkit von Malwarebytes eliminiert werden? Hätte da auch noch ein 2 kurze Fragen. Ich habe vor ein paar Tagen ja auch den Thunderbird Ordner unter Anwendungsdaten geprüft, und dabei wurden von Antivir 364 Vira gefunden --> sind die harmlos? weil evt. Übungsdaten? (der Antivir müsste auch in einem meiner Posts sein) Da ich schon etwas voreilig war, habe ich alle Daten die ich sichern wollte auf die externe Platte kopiert. Davor aber mit eurer reg-Datei den Autorun ausgeschalten. Hab die Dateien auch mehrmals überprüft bevor ich sie kopiert habe (Antivir, Malwarebyte, SuperAntiSpyware). Kann es trotzdem sein, dass sich jetzt der Rootkit oder ein anderer Virus auf die Festplatte ausgebreitet hat? Avenger Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\system32\drivers\fpujcv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\fpujcv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At1.job" not found!
Deletion of file "C:\WINDOWS\tasks\At1.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At10.job" not found!
Deletion of file "C:\WINDOWS\tasks\At10.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At11.job" not found!
Deletion of file "C:\WINDOWS\tasks\At11.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At12.job" not found!
Deletion of file "C:\WINDOWS\tasks\At12.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At13.job" not found!
Deletion of file "C:\WINDOWS\tasks\At13.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At14.job" not found!
Deletion of file "C:\WINDOWS\tasks\At14.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At15.job" not found!
Deletion of file "C:\WINDOWS\tasks\At15.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At16.job" not found!
Deletion of file "C:\WINDOWS\tasks\At16.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At17.job" not found!
Deletion of file "C:\WINDOWS\tasks\At17.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At18.job" not found!
Deletion of file "C:\WINDOWS\tasks\At18.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At19.job" not found!
Deletion of file "C:\WINDOWS\tasks\At19.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At2.job" not found!
Deletion of file "C:\WINDOWS\tasks\At2.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At20.job" not found!
Deletion of file "C:\WINDOWS\tasks\At20.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At21.job" not found!
Deletion of file "C:\WINDOWS\tasks\At21.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At22.job" not found!
Deletion of file "C:\WINDOWS\tasks\At22.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At23.job" not found!
Deletion of file "C:\WINDOWS\tasks\At23.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At24.job" not found!
Deletion of file "C:\WINDOWS\tasks\At24.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At3.job" not found!
Deletion of file "C:\WINDOWS\tasks\At3.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At4.job" not found!
Deletion of file "C:\WINDOWS\tasks\At4.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At5.job" not found!
Deletion of file "C:\WINDOWS\tasks\At5.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At6.job" not found!
Deletion of file "C:\WINDOWS\tasks\At6.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At7.job" not found!
Deletion of file "C:\WINDOWS\tasks\At7.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At8.job" not found!
Deletion of file "C:\WINDOWS\tasks\At8.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\tasks\At9.job" not found!
Deletion of file "C:\WINDOWS\tasks\At9.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\23.exe" not found!
Deletion of file "C:\WINDOWS\system32\23.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\81.exe" not found!
Deletion of file "C:\WINDOWS\system32\81.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\fpujcv" not found!
Deletion of driver "fpujcv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3756
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
18.02.2010 19:29:10
mbam-log-2010-02-18 (19-29-10).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 282723
Laufzeit: 1 hour(s), 7 minute(s), 32 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{210277F5-F59B-408E-B046-A128D119C9E4}\RP5\A0000204.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{210277F5-F59B-408E-B046-A128D119C9E4}\RP5\A0000210.exe (Trojan.Banker) -> Quarantined and deleted successfully.
|
|
19.02.2010, 20:22
| #6 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Hab nochmals einen Malwarebytes Durchgang laufen lassen, diesmal auch mit angesteckter externer Festplatte, aber das Ergebnis ist das selbe wie unten der Rootkit und der 2te Virus sind noch drauf. Auf der externen Platte wurde nichts gefunden. |
|
19.02.2010, 20:30
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Ok, dann mach mal bitte ein Log mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.02.2010, 23:48
| #8 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen So das ist mein ComboFix log Sind dir Viren im Thunderbird Ordner normal? Code:
ATTFilter ComboFix 10-02-19.03 - CastorTroy 19.02.2010 23:22:27.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1602 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\CastorTroy\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Desktopicon
c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\INSTALL.LOG
c:\programme\WinPCap\NetMonInstaller.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\programme\WinPCap\Uninstall.exe
c:\recycler\S-1-5-21-3760555617-1991847997-184856607-0229
c:\recycler\S-1-5-21-5747652983-6602157578-235195291-7780
c:\recycler\S-1-5-21-6524033203-1287372498-493864745-4714
c:\recycler\S-1-5-21-7747021392-0914609016-990341858-8402
c:\recycler\S-1-5-21-8099198908-3240245768-042996082-8502
c:\recycler\S-1-5-21-9205821325-1834576477-299525909-9503
c:\windows\AegisP.inf
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\nerocheck .exe
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\tmp47.tmp
c:\windows\system32\tmp48.tmp
c:\windows\system32\twain_32.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Service_NPF
((((((((((((((((((((((( Dateien erstellt von 2010-01-19 bis 2010-02-19 ))))))))))))))))))))))))))))))
.
2010-02-19 21:44 . 2010-02-19 21:44 -------- d-----r- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Brother
2010-02-18 11:23 . 2010-02-19 22:09 -------- d-----w- C:\TempD
2010-02-17 18:28 . 2010-02-17 18:30 -------- d-----w- C:\Lop SD
2010-02-15 18:10 . 2010-02-15 18:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-02-15 18:10 . 2010-02-15 18:10 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\SUPERAntiSpyware.com
2010-02-12 18:16 . 2010-02-12 18:17 -------- d-----w- C:\rsit
2010-02-12 16:49 . 2010-02-12 16:49 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Malwarebytes
2010-02-12 16:49 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-12 16:49 . 2010-02-12 16:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-12 16:49 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-12 11:40 . 2010-02-12 11:40 -------- d-----w- c:\programme\Trend Micro
2010-02-12 11:32 . 2010-02-12 11:32 -------- d-sh--w- c:\dokumente und einstellungen\CastorTroy\IETldCache
2010-02-12 10:37 . 2010-02-12 10:40 -------- d-----w- c:\windows\ie8updates
2010-02-12 10:26 . 2010-02-12 10:33 -------- dc-h--w- c:\windows\ie8
2010-02-12 10:11 . 2009-12-11 08:38 69120 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-02-12 10:11 . 2009-12-21 19:04 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-02-12 10:11 . 2009-12-21 19:04 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-02-12 10:11 . 2009-12-21 19:04 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-12 10:11 . 2009-12-21 19:04 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-02-12 10:11 . 2009-12-21 19:05 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-02-12 10:11 . 2009-12-21 19:04 11070464 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-02-03 17:30 . 2010-02-03 17:30 -------- d-----w- C:\WTablet
2010-01-25 22:16 . 2010-01-25 22:16 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Lokale Einstellungen\Anwendungsdaten\Cooliris
2010-01-22 11:24 . 2010-01-22 11:24 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Lokale Einstellungen\Anwendungsdaten\Cisco
2010-01-22 11:24 . 2010-01-22 11:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Cisco
2010-01-22 11:24 . 2010-01-22 11:24 -------- d-----w- c:\programme\Cisco
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-19 22:30 . 2010-01-18 23:03 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\WTablet
2010-02-19 17:46 . 2010-01-19 13:53 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\WTablet
2010-02-17 16:27 . 2009-12-02 23:32 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\vlc
2010-02-15 18:12 . 2010-02-15 18:12 52224 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-02-15 18:12 . 2010-02-15 18:12 117760 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-02-15 18:09 . 2009-12-04 20:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-02-12 15:58 . 2009-12-02 20:48 -------- d-----w- c:\programme\Launch Manager
2010-02-12 10:09 . 2009-12-02 21:43 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Skype
2010-02-12 09:34 . 2009-12-02 21:45 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\skypePM
2010-02-05 14:08 . 2009-12-04 17:56 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\dvdcss
2010-01-25 14:13 . 2009-12-03 14:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-01-21 16:11 . 2010-01-22 13:32 52224 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Mozilla\Firefox\Profiles\vx5as71k.default\extensions\{3160baf9-cf68-48ec-9076-faed7ce49467}\components\FFExternalAlert.dll
2010-01-21 16:11 . 2010-01-22 13:32 101376 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Mozilla\Firefox\Profiles\vx5as71k.default\extensions\{3160baf9-cf68-48ec-9076-faed7ce49467}\components\RadioWMPCore.dll
2010-01-19 13:25 . 2010-01-19 13:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2010-01-18 23:03 . 2010-01-18 23:02 -------- d-----w- c:\programme\Tablet
2010-01-16 20:12 . 2009-12-02 20:11 70480 ----a-w- c:\dokumente und einstellungen\CastorTroy\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-15 16:28 . 2010-01-15 16:29 737280 ----a-w- c:\windows\iun6002.exe
2009-12-26 21:38 . 2009-12-23 10:04 -------- d-----w- c:\programme\Gemeinsame Dateien\BioWare
2009-12-25 07:53 . 2009-12-25 07:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BioWare
2009-12-25 07:50 . 2009-12-25 07:50 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\ATI
2009-12-25 07:50 . 2009-12-25 07:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2009-12-25 07:50 . 2009-12-25 07:50 0 ----a-w- c:\windows\ativpsrm.bin
2009-12-25 07:48 . 2009-12-02 20:15 -------- d-----w- c:\programme\ATI Technologies
2009-12-25 07:46 . 2009-12-02 20:15 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-24 14:42 . 2009-12-24 14:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Futuremark Shared
2009-12-23 11:09 . 2009-12-23 11:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Logitech
2009-12-22 15:23 . 2009-12-22 15:23 -------- d-----w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\MAXON
2009-12-21 19:05 . 2002-08-29 20:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 13:42 . 2009-12-18 13:42 34 ----a-w- c:\windows\system32\BD2030.DAT
2009-12-08 20:16 . 2009-12-02 21:08 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 21:30 . 2009-12-04 21:30 4096 ----a-w- c:\windows\d3dx.dat
2009-12-04 19:26 . 2002-08-29 20:00 72880 ----a-w- c:\windows\system32\perfc007.dat
2009-12-04 19:26 . 2002-08-29 20:00 411670 ----a-w- c:\windows\system32\perfh007.dat
2009-12-04 08:34 . 2009-12-04 08:34 1924440 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2009-12-03 17:19 . 2002-08-29 20:00 5649920 ----a-w- c:\windows\system32\logonuiX.exe
2009-12-03 07:50 . 2009-12-03 07:51 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-03 07:50 . 2009-12-03 07:50 152576 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-03 07:49 . 2009-12-03 07:49 79488 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-02 23:12 . 2009-12-02 23:12 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-02 22:26 . 2009-12-02 22:12 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2009-12-02 22:26 . 2009-12-02 22:12 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2009-12-02 21:45 . 2009-12-02 21:45 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-02 21:37 . 2009-12-02 21:37 0 ----a-w- c:\windows\nsreg.dat
2009-12-02 20:31 . 2009-12-02 20:31 21361 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-12-02 20:31 . 2009-12-02 20:31 21361 ----a-w- c:\windows\AegisP.sys
2009-12-02 20:04 . 2009-12-02 19:43 86327 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-12-02 19:44 . 2009-12-02 19:44 2678 ----a-w- c:\windows\java\Packages\Data\TVJ173HJ.DAT
2009-12-02 19:44 . 2009-12-02 19:44 558142 ----a-w- c:\windows\java\Packages\BD7HVBLB.ZIP
2009-12-02 19:44 . 2009-12-02 19:44 2678 ----a-w- c:\windows\java\Packages\Data\QEMU6XB5.DAT
2009-12-02 19:44 . 2009-12-02 19:44 2678 ----a-w- c:\windows\java\Packages\Data\J1VZ57LR.DAT
2009-12-02 19:44 . 2009-12-02 19:44 2678 ----a-w- c:\windows\java\Packages\Data\6TJ7R97T.DAT
2009-12-02 19:44 . 2009-12-02 19:44 2678 ----a-w- c:\windows\java\Packages\Data\3931RRBT.DAT
2009-12-02 19:44 . 2009-12-02 19:44 155995 ----a-w- c:\windows\java\Packages\JTRNLNDZ.ZIP
2009-12-02 19:41 . 2009-12-02 19:41 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-11-23 14:23 . 2009-12-02 21:38 52224 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Mozilla\Firefox\Profiles\vx5as71k.default\extensions\{e0c7b854-d5ce-4db6-9804-be1438603d89}\components\FFExternalAlert.dll
2009-11-23 14:23 . 2009-12-02 21:38 114688 ----a-w- c:\dokumente und einstellungen\CastorTroy\Anwendungsdaten\Mozilla\Firefox\Profiles\vx5as71k.default\extensions\{e0c7b854-d5ce-4db6-9804-be1438603d89}\components\npmozax.dll
.
|
|
21.02.2010, 18:35
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Ok. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.02.2010, 22:40
| #10 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Ok habe alles angestöpselt, Malwarebytes aktualisiert und einen komplett Scan durchgeführt und es wurde nichts mehr gefunden. Heißt das jetzt, dass mein System wieder Viren frei ist? Oder sollte ich trotzdem eine Neuinstallation erwägen? Ein kleines Problem habe ich allerdings noch, fast immer wenn ich die rechte Maustaste, die Windows-Taste oder Steuerungstaste drücke, startet der Windows Installer und versucht den Acrobat zu installieren. Kann ich da was dagegen tun? Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3766
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
20.02.2010 13:26:43
mbam-log-2010-02-20 (13-26-43).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 264562
Laufzeit: 57 minute(s), 40 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
21.02.2010, 22:48
| #11 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.GenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
22.02.2010, 12:53
| #12 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Nein, ComboFix wars nicht, das Problem ist entweder durch den CCleaner, Malwarebytes, RSIT oder GMER entstanden, bin mir aber leider nicht mehr zu hundert Prozent sicher, nach welchem Programm dieser Fehler das erste Mal aufgetreten ist (ich glaube es war der CCleaner, aber wie schon gesagt sicher bin ich mir nicht). Es war also auch schon vor dem Einsatz von Avenger und ComboFix vorhanden. Aja und ich habe ein paar Tests durchgeführt, der Installer wird nur gestartet (und zwar immer) wenn ich auf irgendeine Datei (sowohl Datendateien als auch .exe-Dateien) Rechtsklicke. Das Selbe trifft auch auf Strg+C und Strg+V in Verbindung mit einer Datei auf und zwar ebenfalls immer. Die Windowstaste habe ich auch nochmals mehrmals überprüft, aber dort passiert das nicht mehr, also war das vielleicht einfach nur Zufall. Geändert von CastorTroy (22.02.2010 um 13:00 Uhr) |
|
23.02.2010, 13:43
| #13 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Als Zusatz zu meinem vorigen Post: Auch bei Ordnern und Dateien in Verbindunge mit der "Entf"-Taste startet der Installer. Und auch bei Windowstaste+E also beim Explorer Start. Das mit dem Thunderbird Ordner hat sich erledigt, habe doch noch einen Thread gefunden in dem ein ähnliches Problem beschrieben wurde. Hab alle Ordner komprimiert und jetzt sind sämtliche Viren weg. und ich habe 800MB mehr Speicherplatz  |
|
23.02.2010, 13:50
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Versucht der immer den Acrobat zu installieren?  Kurioses Verhalten... 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.02.2010, 17:32
| #15 |
| | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Ja es ist immer der Acrobat 8.2.0. Kann es vielleicht daran liegen, dass der Acrobat kurz bevor ich die ganze Säuberungsaktion durchgeführt habe, gerade ein neues Update heruntergeladen hat, es aber dann noch nicht installiert wurde? Soll ich es vielleicht einfach mal installieren lassen, wenn ich offline bin? Ich habe jetzt nämlich alle Daten gesichert, falls was schief geht, kann ich das OS also problemlos wieder neu aufsetzen.!? Auf jeden Fall danke für die Hilfe bisher, das ist das erste Forum für das ich definitiv eine Spende locker mache!!! Danke für die super Unterstützung!!! |
|
| Themen zu TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen |
| .com, 0 bytes, adobe, adware.adon, antivir, antivir guard, antivirus, avgntflt.sys, avira, backdoor.bot.gen, bho, bonjour, browser, content.ie5, device driver, diagnostics, ebayshortcuts.exe, einstellungen, eudora, explorer, frage, gerätetreiber, hijack, hijackthis, internet, jusched.exe, launch, malware.packer.gen, nt.dll, pdf-datei, plug-in, problem, registrierungsschlüssel, registry, rundll, skype.exe, software, spyware.passwords, studio, suchlauf, taskman, temp, toolbars, tr/crypt.xpack, tr/crypt.xpack.gen, tr/dldr.fraudload.wybc, tr/rootkit.gen, tr/spy.gen, tr/zapchast.aix.79, trojan, viren, warnung, windows, worm.autorun.b |
Linear-Darstellung
