| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner AV Security SuitWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.06.2010, 22:14
| #1 |
 |  Trojaner AV Security Suit Hallo, ich versuche seit vorgestern einen Trojaner Namens "AV Security Suit" von meinem PC zu entfernen. Ich habe versucht nach der Anleitung in diesem Forum zu arbeiten. Nach dem ich den PC im Abgesicherten Modus (F8) hochgefahren hatte, ist mir aufgefallen das neben dem Benutzer "Mustermann" noch der Benutzer "Administrator" vorhanden ist. Beide sind aber Computer- administrator. Ich versuche mal zu erklären was ich bis jetzt gemacht habe, denn der Trojaner namens "AV Security Suit" ist leider immer noch da. Achso: Bitte lasst euch von den Zeiten und dem Datum in den Log files nicht irritieren. Ich bin in Sydney. Im Abgesicherten Modus ("Administrator"): 1.Programm "rkill" ausgeführt. Log file: _________________________________________________________________ This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Ran as Administrator on 23.06.2010 at 21:18:33. Processes terminated by Rkill or while it was running: Rkill completed on 23.06.2010 at 21:18:37. _________________________________________________________________ 2. Falsche Proxi Einstellungen entfernt. 3. Quick-Scan mit dem Programm "Malwarebytes" ausgeführt. Log file: _________________________________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4227 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 6.0.2900.5512 23.06.2010 21:37:45 mbam-log-2010-06-23 (21-37-45).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 136212 Laufzeit: 8 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Dropper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\asam.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\herjek.config (Malware.Trace) -> Quarantined and deleted successfully. _________________________________________________________________ 4. Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt. Nach dem ich das alles gemacht hatte, habe ich die Verbindung ins Netz deaktiviert und den PC neu gestartet. Da ich ihn nicht im Abgesicherten Modus hochgefahren hatte, konnte ich mich nur als "Mustermann", welcher ebenfalls Computeradministrator ist, anmelden. So weit so gut, der Trojaner hatte sich nach dem Hochfahren nicht gemeldet. Nun bin ich wie folgt vorgegangen: 1. Nochmals des Programm "Malwarebytes"ausgeführt. Dieses mal aber den Full-Scan. --> es wurden erneut infizierte Objekte gefunden!!! Log file: _________________________________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4227 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 23.06.2010 22:56:41 mbam-log-2010-06-23 (22-56-41).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 226576 Time elapsed: 55 minute(s), 53 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 4 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Agent) -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\syssvc.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0068825.exe (Trojan.Dropper) -> Quarantined and deleted successfully. _________________________________________________________________ 2. Nochmals Proxi Einstellungen kontrolliert. Das Häkchen war gesetzt - ich habe es entfernt. 3. Nochmals Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt. 4. Programm "RSIT" ausgeführt. Log file: _________________________________________________________________ (ist etwas groß, habe es aber gespeichert falls es wichtig ist) _________________________________________________________________ 5. AviraAntiVir --> Luke Filewalker durchgeführt. (es wurden keine Vieren gefunden) 6. Programm "Ad-Aware" durchgeführt. (es wurden keine Vieren gefunden) Log file: _________________________________________________________________ Logfile created: 24.06.2010 06:00:59 Ad-Aware version: 8.2.5 User performing scan: Mustermann *********************** Definitions database information *********************** Lavasoft definition file: 149.299 Genotype definition file version: 2010/06/15 23:24:58 ******************************** Scan results: ********************************* Scan profile name: Intelligenter Scan (ID: smart) Objects scanned: 12316 Objects detected: 0 Type Detected ========================== Processes.......: 0 Registry entries: 0 Hostfile entries: 0 Files...........: 0 Folders.........: 0 LSPs............: 0 Cookies.........: 0 Browser hijacks.: 0 MRU objects.....: 0 _________________________________________________________________ Jetzt habe ich die Verbindung zum Internet wieder hergestellt und der Trojaner hat sich nicht mehr gemeldet. Nachdem ich den PC aber neu gestartet hatte, war er wieder da. Kann mir jemand einen Tip geben was ich noch tun könnte? Hängt es vielleicht irgendwie mit den Benutzerkonten zusammen? Gruß |
|
23.06.2010, 22:56
| #2 | |
| /// Helfer-Team    | Trojaner AV Security Suit Hallo und Herzlich Willkommen!
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 3. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
24.06.2010, 04:17
| #3 |
| | Trojaner AV Security Suit Hallo,
__________________ich habe die erforderlichen Tools nun von einem anderen Rechner heruntergeladen und auf einem Stick gespeichert. Soll ich die Vorgänge im abgesicherten Modus ausführen? Wenn ja, mit welchem Benutzer? Beide, "Administrator" und "Mustermann", sind Computeradministrator. Grüße |
|
24.06.2010, 09:24
| #4 |
| | Trojaner AV Security Suit Ok, ich habe den PC im abgesicherten Modus hochgefahren und mich als "Administrator" (Computeradministrator) angemeldet. Dann folgende Anweisungen ausgeführt: 1. Programm "HijackThis" ausgeführt und Logfile gespeichert. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:33:57, on 24.06.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://eeepc.asus.com/global R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe O4 - HKLM\..\Run: [ETDWareDetect] C:\Programme\Elantech\ETDDect.exe O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll, InitGauge O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [cwdalaoh] C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: SuperHybridEngine.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: UpdateCheck - {8A4AB032-6976-4CB0-B08E-230683C1FFD9} - (no file) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 6326 bytes 2. Geforderte Dateien sichtbar gemacht. 3. Programm "HJTscanlist" ausgeführt. Code:
ATTFilter
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
º º
hjtscanlist v2.0
º º
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
Microsoft Windows XP [Version 5.1.2600]
C:
24.06.2010 17:30 C:\WINDOWS --------- 0
24.06.2010 17:30 C:\rkill.log --------- 392
C:\pagefile.sys ---------
24.06.2010 17:26 C:\aaw7boot.log --------- 1116
23.06.2010 19:37 C:\Programme --------- 0
23.06.2010 05:43 C:\rsit --------- 0
23.06.2010 00:38 C:\RECYCLER --------- 0
22.06.2010 23:59 C:\Dokumente und Einstellungen --------- 0
08.02.2009 09:36 C:\Downloads --------- 0
08.01.2009 06:28 C:\Keil --------- 0
09.12.2008 19:19 C:\Program Files --------- 0
05.12.2008 09:27 C:\System Volume Information --------- 0
05.12.2008 09:27 C:\boot.ini --------- 211
12.08.2008 01:57 C:\Intel --------- 0
12.08.2008 00:19 C:\IO.SYS --------- 0
12.08.2008 00:19 C:\CONFIG.SYS --------- 0
12.08.2008 00:19 C:\MSDOS.SYS --------- 0
12.08.2008 00:19 C:\AUTOEXEC.BAT --------- 0
14.04.2008 22:00 C:\bootfont.bin --------- 4952
14.04.2008 22:00 C:\ntldr --------- 251712
14.04.2008 22:00 C:\NTDETECT.COM --------- 47564
----------------------------------------
C:\WINDOWS
24.06.2010 17:31 C:\WINDOWS\ntbtlog.txt --------- 162546
24.06.2010 17:26 C:\WINDOWS\0.log --------- 0
24.06.2010 17:26 C:\WINDOWS\bootstat.dat --------- 2048
24.06.2010 17:25 C:\WINDOWS\WindowsUpdate.log --------- 19122
24.06.2010 17:25 C:\WINDOWS\SchedLgU.Txt --------- 9334
24.06.2010 17:25 C:\WINDOWS\wiaservc.log --------- 50
24.06.2010 17:25 C:\WINDOWS\wiadebug.log --------- 275
24.06.2010 17:24 C:\WINDOWS\setupapi.log --------- 793
23.06.2010 21:49 C:\WINDOWS\Sti_Trace.log --------- 0
16.04.2010 07:20 C:\WINDOWS\PSPICEEV.INI --------- 6218
06.04.2010 05:57 C:\WINDOWS\ModemLog_Nokia E50 Bluetooth Modem.txt --------- 17790
23.03.2009 19:11 C:\WINDOWS\win.ini --------- 498
05.12.2008 21:58 C:\WINDOWS\nsreg.dat --------- 0
18.09.2008 02:40 C:\WINDOWS\oemver.txt --------- 35
28.08.2008 01:39 C:\WINDOWS\HideWin.exe --------- 319488
13.08.2008 13:44 C:\WINDOWS\smscfg.ini --------- 61
12.08.2008 03:58 C:\WINDOWS\REGLOCS.OLD --------- 8192
12.08.2008 03:07 C:\WINDOWS\setup.iss --------- 692
12.08.2008 01:12 C:\WINDOWS\system.ini --------- 231
12.08.2008 00:19 C:\WINDOWS\control.ini --------- 0
12.08.2008 00:19 C:\WINDOWS\WMSysPr9.prx --------- 316640
12.08.2008 00:19 C:\WINDOWS\ODBCINST.INI --------- 4161
12.08.2008 00:17 C:\WINDOWS\WindowsShell.Manifest --------- 749
12.08.2008 00:16 C:\WINDOWS\vb.ini --------- 36
12.08.2008 00:16 C:\WINDOWS\vbaddin.ini --------- 37
06.08.2008 23:51 C:\WINDOWS\RtlUpd.exe --------- 1200128
31.07.2008 23:05 C:\WINDOWS\RTHDCPL.EXE --------- 16806912
31.07.2008 03:31 C:\WINDOWS\AsAcpiSvrLang.ini --------- 21864
30.07.2008 18:56 C:\WINDOWS\BtwIEProxy.exe --------- 27176
29.07.2008 23:42 C:\WINDOWS\RtlExUpd.dll --------- 528384
02.07.2008 23:48 C:\WINDOWS\AUTO.BAT --------- 37
20.06.2008 00:42 C:\WINDOWS\ALCWZRD.EXE --------- 2808832
20.06.2008 00:27 C:\WINDOWS\RTLCPL.EXE --------- 9715200
20.06.2008 00:20 C:\WINDOWS\ALCMTR.EXE --------- 57344
19.06.2008 02:01 C:\WINDOWS\SOUNDMAN.EXE --------- 77824
14.04.2008 22:00 C:\WINDOWS\regedit.exe --------- 153600
14.04.2008 22:00 C:\WINDOWS\hh.exe --------- 10752
14.04.2008 22:00 C:\WINDOWS\Rhododendron.bmp --------- 17362
14.04.2008 22:00 C:\WINDOWS\Granit.bmp --------- 26582
14.04.2008 22:00 C:\WINDOWS\Pr„riewind.bmp --------- 65954
14.04.2008 22:00 C:\WINDOWS\Kaffeetasse.bmp --------- 17062
14.04.2008 22:00 C:\WINDOWS\wmprfDEU.prx --------- 34818
14.04.2008 22:00 C:\WINDOWS\winnt.bmp --------- 48680
14.04.2008 22:00 C:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832
14.04.2008 22:00 C:\WINDOWS\Feder.bmp --------- 16730
14.04.2008 22:00 C:\WINDOWS\Zapotek.bmp --------- 9522
14.04.2008 22:00 C:\WINDOWS\explorer.scf --------- 80
14.04.2008 22:00 C:\WINDOWS\winhlp32.exe --------- 288768
14.04.2008 22:00 C:\WINDOWS\winhelp.exe --------- 257568
14.04.2008 22:00 C:\WINDOWS\explorer.exe --------- 1036800
14.04.2008 22:00 C:\WINDOWS\winnt256.bmp --------- 48680
14.04.2008 22:00 C:\WINDOWS\F„cher.bmp --------- 26680
14.04.2008 22:00 C:\WINDOWS\desktop.ini --------- 2
14.04.2008 22:00 C:\WINDOWS\clock.avi --------- 82944
14.04.2008 22:00 C:\WINDOWS\TASKMAN.EXE --------- 15872
14.04.2008 22:00 C:\WINDOWS\twain.dll --------- 94800
14.04.2008 22:00 C:\WINDOWS\twain_32.dll --------- 50688
14.04.2008 22:00 C:\WINDOWS\twunk_16.exe --------- 49680
14.04.2008 22:00 C:\WINDOWS\twunk_32.exe --------- 25600
14.04.2008 22:00 C:\WINDOWS\Angler.bmp --------- 17336
14.04.2008 22:00 C:\WINDOWS\NOTEPAD.EXE --------- 70144
14.04.2008 22:00 C:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272
14.04.2008 22:00 C:\WINDOWS\vmmreg32.dll --------- 18944
14.04.2008 22:00 C:\WINDOWS\Seifenblase.bmp --------- 65978
14.04.2008 22:00 C:\WINDOWS\msdfmap.ini --------- 1405
14.04.2008 22:00 C:\WINDOWS\_default.pif --------- 707
20.03.2008 17:58 C:\WINDOWS\explorer.exe.config --------- 173
17.03.2008 23:54 C:\WINDOWS\AsTrayLang.ini --------- 12208
20.02.2008 01:42 C:\WINDOWS\RUN.REG --------- 256
01.02.2008 20:17 C:\WINDOWS\WLXPGSS.SCR --------- 587776
25.01.2008 06:17 C:\WINDOWS\HW.VBS --------- 124
15.12.2007 15:00 C:\WINDOWS\INSTALLEEE.EXE --------- 49152
21.11.2007 02:15 C:\WINDOWS\SkyTel.exe --------- 1826816
14.11.2007 23:18 C:\WINDOWS\USetup.iss --------- 553
29.06.2007 00:44 C:\WINDOWS\MicCal.exe --------- 2165760
14.06.2007 06:39 C:\WINDOWS\sr.VBS --------- 1162
30.10.1998 01:45 C:\WINDOWS\IsUninst.exe --------- 306688
----------------------------------------
C:\WINDOWS\System
14.04.2008 22:00 C:\WINDOWS\System\AVICAP.DLL --------- 70368
14.04.2008 22:00 C:\WINDOWS\System\AVIFILE.DLL --------- 109504
14.04.2008 22:00 C:\WINDOWS\System\COMMDLG.DLL --------- 33744
14.04.2008 22:00 C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
14.04.2008 22:00 C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
14.04.2008 22:00 C:\WINDOWS\System\MCIAVI.DRV --------- 73760
14.04.2008 22:00 C:\WINDOWS\System\MCISEQ.DRV --------- 25296
14.04.2008 22:00 C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
14.04.2008 22:00 C:\WINDOWS\System\MMSYSTEM.DLL --------- 69632
14.04.2008 22:00 C:\WINDOWS\System\MMTASK.TSK --------- 1152
14.04.2008 22:00 C:\WINDOWS\System\MOUSE.DRV --------- 2032
14.04.2008 22:00 C:\WINDOWS\System\MSVIDEO.DLL --------- 127104
14.04.2008 22:00 C:\WINDOWS\System\OLECLI.DLL --------- 82944
14.04.2008 22:00 C:\WINDOWS\System\OLESVR.DLL --------- 24064
14.04.2008 22:00 C:\WINDOWS\System\setup.inf --------- 59167
14.04.2008 22:00 C:\WINDOWS\System\SHELL.DLL --------- 5120
14.04.2008 22:00 C:\WINDOWS\System\SOUND.DRV --------- 1744
14.04.2008 22:00 C:\WINDOWS\System\stdole.tlb --------- 5532
14.04.2008 22:00 C:\WINDOWS\System\SYSTEM.DRV --------- 3360
14.04.2008 22:00 C:\WINDOWS\System\TAPI.DLL --------- 19200
14.04.2008 22:00 C:\WINDOWS\System\TIMER.DRV --------- 4048
14.04.2008 22:00 C:\WINDOWS\System\VER.DLL --------- 9200
14.04.2008 22:00 C:\WINDOWS\System\VGA.DRV --------- 2176
14.04.2008 22:00 C:\WINDOWS\System\WFWNET.DRV --------- 13600
14.04.2008 22:00 C:\WINDOWS\System\WINSPOOL.DRV --------- 146944
----------------------------------------
C:\WINDOWS\System32
24.06.2010 17:23 C:\WINDOWS\system32\CatRoot2 --------- 0
24.06.2010 06:54 C:\WINDOWS\system32\drivers --------- 0
23.06.2010 20:07 C:\WINDOWS\system32\lsdelete.exe --------- 15880
23.06.2010 17:25 C:\WINDOWS\system32\perfh009.dat --------- 441458
23.06.2010 17:25 C:\WINDOWS\system32\perfc009.dat --------- 71394
23.06.2010 17:25 C:\WINDOWS\system32\perfh007.dat --------- 459396
23.06.2010 17:25 C:\WINDOWS\system32\perfc007.dat --------- 84722
23.06.2010 17:25 C:\WINDOWS\system32\PerfStringBackup.INI --------- 1025822
23.06.2010 17:20 C:\WINDOWS\system32\wpa.dbl --------- 1158
13.06.2010 19:56 C:\WINDOWS\system32\FNTCACHE.DAT --------- 181832
13.06.2010 11:35 C:\WINDOWS\system32\dllcache --------- 0
29.05.2010 05:37 C:\WINDOWS\system32\MRT.exe --------- 32472008
26.05.2010 15:38 C:\WINDOWS\system32\TZLog.log --------- 600946
02.05.2010 18:05 C:\WINDOWS\system32\win32k.sys --------- 1851392
21.04.2010 23:28 C:\WINDOWS\system32\tzchange.exe --------- 46080
20.04.2010 15:29 C:\WINDOWS\system32\atmfd.dll --------- 285696
17.04.2010 02:06 C:\WINDOWS\system32\wininet.dll --------- 672768
17.04.2010 02:06 C:\WINDOWS\system32\shdocvw.dll --------- 1509888
17.04.2010 02:06 C:\WINDOWS\system32\tdc.ocx --------- 61952
17.04.2010 02:06 C:\WINDOWS\system32\urlmon.dll --------- 628736
17.04.2010 02:06 C:\WINDOWS\system32\mshtml.dll --------- 3094016
17.04.2010 02:06 C:\WINDOWS\system32\iepeers.dll --------- 251904
17.04.2010 02:06 C:\WINDOWS\system32\browseui.dll --------- 1025024
17.04.2010 02:06 C:\WINDOWS\system32\ieencode.dll --------- 81920
17.04.2010 01:53 C:\WINDOWS\system32\html.iec --------- 371200
08.04.2010 14:03 C:\WINDOWS\system32\WMVCore.dll --------- 2113536
31.03.2010 05:48 C:\WINDOWS\system32\jupdate-1.6.0_19-b04.log --------- 4444
31.03.2010 00:16 C:\WINDOWS\system32\PresentationHostProxy.dll --------- 99176
31.03.2010 00:10 C:\WINDOWS\system32\PresentationHost.exe --------- 295264
20.03.2010 02:05 C:\WINDOWS\system32\wmp.dll --------- 4874240
09.03.2010 21:09 C:\WINDOWS\system32\vbscript.dll --------- 430080
09.03.2010 12:28 C:\WINDOWS\system32\javaws.exe --------- 153376
09.03.2010 12:28 C:\WINDOWS\system32\javaw.exe --------- 145184
09.03.2010 12:28 C:\WINDOWS\system32\java.exe --------- 145184
09.03.2010 12:28 C:\WINDOWS\system32\deploytk.dll --------- 411368
09.03.2010 10:16 C:\WINDOWS\system32\javacpl.cpl --------- 73728
06.03.2010 00:37 C:\WINDOWS\system32\asycfilt.dll --------- 65536
17.02.2010 05:04 C:\WINDOWS\system32\ntkrnlpa.exe --------- 2027008
17.02.2010 05:04 C:\WINDOWS\system32\ntoskrnl.exe --------- 2148864
12.02.2010 20:03 C:\WINDOWS\system32\browserchoice.exe --------- 293376
12.02.2010 14:33 C:\WINDOWS\system32\6to4svc.dll --------- 100864
06.02.2010 04:25 C:\WINDOWS\system32\quartz.dll --------- 1297408
30.01.2010 00:59 C:\WINDOWS\system32\inetcomm.dll --------- 691712
30.01.2010 00:43 C:\WINDOWS\system32\l3codeca.acm --------- 307260
30.01.2010 00:43 C:\WINDOWS\system32\l3codecx.ax --------- 143422
14.01.2010 00:00 C:\WINDOWS\system32\cabview.dll --------- 86528
02.01.2010 05:58 C:\WINDOWS\system32\jupdate-1.6.0_17-b04.log --------- 4997
24.12.2009 16:59 C:\WINDOWS\system32\wintrust.dll --------- 177664
17.12.2009 17:40 C:\WINDOWS\system32\mspaint.exe --------- 346624
14.12.2009 17:08 C:\WINDOWS\system32\csrsrv.dll --------- 33280
08.12.2009 19:23 C:\WINDOWS\system32\shlwapi.dll --------- 474624
28.11.2009 03:11 C:\WINDOWS\system32\msyuv.dll --------- 17920
28.11.2009 02:08 C:\WINDOWS\system32\tsbyuv.dll --------- 8704
28.11.2009 02:08 C:\WINDOWS\system32\msvidc32.dll --------- 28672
28.11.2009 02:08 C:\WINDOWS\system32\msrle32.dll --------- 11264
28.11.2009 02:08 C:\WINDOWS\system32\avifil32.dll --------- 85504
28.11.2009 02:08 C:\WINDOWS\system32\iyuv_32.dll --------- 48128
07.11.2009 01:07 C:\WINDOWS\system32\netfxperf.dll --------- 49488
07.11.2009 01:07 C:\WINDOWS\system32\mscoree.dll --------- 297808
07.11.2009 01:06 C:\WINDOWS\system32\dfshim.dll --------- 1130824
21.10.2009 15:38 C:\WINDOWS\system32\strmfilt.dll --------- 75776
21.10.2009 15:38 C:\WINDOWS\system32\httpapi.dll --------- 25088
16.10.2009 02:28 C:\WINDOWS\system32\fontsub.dll --------- 81920
16.10.2009 02:28 C:\WINDOWS\system32\t2embed.dll --------- 119808
13.10.2009 20:32 C:\WINDOWS\system32\oakley.dll --------- 271360
12.10.2009 23:38 C:\WINDOWS\system32\raschap.dll --------- 79872
12.10.2009 23:38 C:\WINDOWS\system32\rastls.dll --------- 150528
09.10.2009 00:47 C:\WINDOWS\system32\DRVSTORE --------- 0
12.09.2009 00:17 C:\WINDOWS\system32\msv1_0.dll --------- 136192
05.09.2009 09:54 C:\WINDOWS\system32\QuickTime.qts --------- 69632
05.09.2009 09:54 C:\WINDOWS\system32\QuickTimeVR.qtx --------- 94208
05.09.2009 07:03 C:\WINDOWS\system32\msasn1.dll --------- 58880
02.09.2009 00:46 C:\WINDOWS\system32\msaud32.acm --------- 282654
29.08.2009 03:42 C:\WINDOWS\system32\usbaaplrc.dll --------- 2065696
26.08.2009 18:00 C:\WINDOWS\system32\strmdll.dll --------- 247326
25.08.2009 19:17 C:\WINDOWS\system32\winhttp.dll --------- 354816
14.08.2009 01:15 C:\WINDOWS\system32\jscript.dll --------- 512000
07.08.2009 04:24 C:\WINDOWS\system32\wuweb.dll --------- 209632
07.08.2009 04:24 C:\WINDOWS\system32\wucltui.dll --------- 327896
07.08.2009 04:24 C:\WINDOWS\system32\wuaueng.dll.mui --------- 18144
07.08.2009 04:24 C:\WINDOWS\system32\wups2.dll --------- 44768
07.08.2009 04:24 C:\WINDOWS\system32\wups.dll --------- 35552
07.08.2009 04:24 C:\WINDOWS\system32\wuaucpl.cpl --------- 217816
07.08.2009 04:24 C:\WINDOWS\system32\wuapi.dll.mui --------- 15584
07.08.2009 04:24 C:\WINDOWS\system32\wuauclt.exe --------- 53472
07.08.2009 04:24 C:\WINDOWS\system32\wuaucpl.cpl.mui --------- 15584
07.08.2009 04:24 C:\WINDOWS\system32\cdm.dll --------- 96480
07.08.2009 04:24 C:\WINDOWS\system32\wucltui.dll.mui --------- 23264
07.08.2009 04:23 C:\WINDOWS\system32\wuapi.dll --------- 575704
07.08.2009 04:23 C:\WINDOWS\system32\wuaueng.dll --------- 1929952
07.08.2009 04:23 C:\WINDOWS\system32\mucltui.dll.mui --------- 17776
07.08.2009 04:23 C:\WINDOWS\system32\mucltui.dll --------- 274288
07.08.2009 04:23 C:\WINDOWS\system32\muweb.dll --------- 215920
05.08.2009 18:59 C:\WINDOWS\system32\mswebdvd.dll --------- 206336
31.07.2009 19:02 C:\WINDOWS\system32\msxml6.dll --------- 1372672
31.07.2009 14:32 C:\WINDOWS\system32\msxml3.dll --------- 1172480
18.07.2009 05:01 C:\WINDOWS\system32\atl.dll --------- 58880
18.07.2009 02:15 C:\WINDOWS\system32\query.dll --------- 1441792
12.07.2009 20:21 C:\WINDOWS\system32\wmpdxm.dll --------- 233472
25.06.2009 18:25 C:\WINDOWS\system32\wdigest.dll --------- 54272
----------------------------------------
C:\WINDOWS\Prefetch
14.08.2010 01:30 C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 27992
14.08.2010 01:27 C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 19552
24.06.2010 17:25 C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf --------- 21526
24.06.2010 17:25 C:\WINDOWS\Prefetch\PEV.RKEXE-2A267F34.pf --------- 4588
24.06.2010 17:25 C:\WINDOWS\Prefetch\RKILL.COM-0D8FD80D.pf --------- 11786
24.06.2010 17:25 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 8226
24.06.2010 17:24 C:\WINDOWS\Prefetch\RUNDLL32.EXE-13404D23.pf --------- 26078
24.06.2010 17:24 C:\WINDOWS\Prefetch\NCLBCBTSRV.EXE-39D0ABE1.pf --------- 16044
24.06.2010 17:24 C:\WINDOWS\Prefetch\AVWSC.EXE-24612965.pf --------- 33752
24.06.2010 17:24 C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf --------- 33996
24.06.2010 17:24 C:\WINDOWS\Prefetch\NCLMSBTSRV.EXE-07A52892.pf --------- 13920
24.06.2010 17:24 C:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf --------- 43568
24.06.2010 17:24 C:\WINDOWS\Prefetch\NCLRSSRV.EXE-3994D759.pf --------- 6368
24.06.2010 17:24 C:\WINDOWS\Prefetch\SERVICELAYER.EXE-2529B377.pf --------- 17840
24.06.2010 17:24 C:\WINDOWS\Prefetch\NCLUSBSRV.EXE-2369E9B7.pf --------- 6782
24.06.2010 17:24 C:\WINDOWS\Prefetch\IPODSERVICE.EXE-233792DA.pf --------- 58024
24.06.2010 17:24 C:\WINDOWS\Prefetch\WMIAPSRV.EXE-1E2270A5.pf --------- 48562
24.06.2010 17:24 C:\WINDOWS\Prefetch\NCLINSTALLER.EXE-29B54FA6.pf --------- 12308
24.06.2010 17:24 C:\WINDOWS\Prefetch\UNSECAPP.EXE-1A95A33B.pf --------- 50714
24.06.2010 06:53 C:\WINDOWS\Prefetch\RUNDLL32.EXE-14B29E97.pf --------- 15000
24.06.2010 06:53 C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 26610
24.06.2010 06:47 C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 67586
24.06.2010 06:04 C:\WINDOWS\Prefetch\THREATWORK.EXE-2CC668FF.pf --------- 38672
24.06.2010 06:00 C:\WINDOWS\Prefetch\AUTOLAUNCH.EXE-343E795D.pf --------- 20492
24.06.2010 06:00 C:\WINDOWS\Prefetch\AD-AWARE.EXE-2B8B58D1.pf --------- 22570
24.06.2010 04:15 C:\WINDOWS\Prefetch\Layout.ini --------- 245990
23.06.2010 23:05 C:\WINDOWS\Prefetch\AVSCAN.EXE-25724B6E.pf --------- 46712
23.06.2010 23:04 C:\WINDOWS\Prefetch\AVCENTER.EXE-1D2DB8A2.pf --------- 72070
23.06.2010 23:01 C:\WINDOWS\Prefetch\CCLEANER.EXE-065E2F3F.pf --------- 79972
23.06.2010 22:56 C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 44404
23.06.2010 21:51 C:\WINDOWS\Prefetch\UPDATE.EXE-3398FCD6.pf --------- 80412
23.06.2010 20:01 C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf --------- 80272
23.06.2010 20:01 C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf --------- 46782
23.06.2010 19:38 C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 103136
23.06.2010 17:16 C:\WINDOWS\Prefetch\JQSNOTIFY.EXE-1E60A522.pf --------- 7252
23.06.2010 17:16 C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf --------- 83072
23.06.2010 15:59 C:\WINDOWS\Prefetch\SOFFICE.BIN-1E52E616.pf --------- 74910
23.06.2010 15:59 C:\WINDOWS\Prefetch\BTSTACKSERVER.EXE-1FCCB149.pf --------- 71010
23.06.2010 15:59 C:\WINDOWS\Prefetch\SOFFICE.EXE-26427B3D.pf --------- 10140
23.06.2010 14:58 C:\WINDOWS\Prefetch\FOXITR~1.EXE-2C735C97.pf --------- 44172
22.06.2010 23:18 C:\WINDOWS\Prefetch\THUNDERBIRD.EXE-031A6371.pf --------- 81380
21.06.2010 23:31 C:\WINDOWS\Prefetch\ITUNES.EXE-15E88941.pf --------- 59882
18.09.2008 02:35 C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 738518
----------------------------------------
C:\WINDOWS\Tasks
24.06.2010 17:28 C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job --------- 470
24.06.2010 17:25 C:\WINDOWS\Tasks\SA.DAT --------- 6
24.06.2010 06:51 C:\WINDOWS\Tasks\Auf Updates fr Windows Live Toolbar prfen.job --------- 252
24.05.2010 16:54 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job --------- 276
14.04.2008 22:00 C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------
C:\WINDOWS\Temp
23.06.2010 17:20 C:\WINDOWS\Temp\coinlog.log --------- 604
19.06.2010 13:09 C:\WINDOWS\Temp\Perflib_Perfdata_5c8.dat --------- 16384
----------------------------------------
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
24.06.2010 17:33 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DF4908.tmp --------- 114688
24.06.2010 17:30 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BTN%Copy%1 --------- 0
24.06.2010 17:30 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\7.tmp --------- 0
23.06.2010 21:46 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\C.tmp --------- 0
23.06.2010 16:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI2142.txt --------- 12902
23.06.2010 16:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\VWL5.tmp --------- 2632
23.06.2010 16:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dw.log --------- 154
23.06.2010 16:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI2142.txt --------- 1920
23.06.2010 16:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI20FE.txt --------- 12800
23.06.2010 16:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\VWL1.tmp --------- 2628
23.06.2010 16:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI20FE.txt --------- 1872
23.06.2010 16:35 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_install_vc_xcor_100.txt --------- 36868
23.06.2010 16:35 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_error_vc_xcor_100.txt --------- 4928
23.06.2010 16:35 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_depcheck_VC_EXP_100.txt --------- 11024
23.06.2010 16:35 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxeventlog.txt --------- 2
23.06.2010 16:31 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI0B93.txt --------- 13880
23.06.2010 16:31 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI0B93.txt --------- 2176
23.06.2010 16:26 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\miaA.tmp --------- 0
23.06.2010 16:18 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia9.tmp --------- 0
23.06.2010 16:05 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia8.tmp --------- 0
23.06.2010 10:25 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia7.tmp --------- 0
23.06.2010 10:19 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6.tmp --------- 0
23.06.2010 07:59 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\5.tmp --------- 0
23.06.2010 07:58 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia2.tmp --------- 0
23.06.2010 07:56 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia1.tmp --------- 0
23.06.2010 01:12 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\4.tmp --------- 0
23.06.2010 01:12 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3.tmp --------- 0
23.06.2010 00:52 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2.tmp --------- 0
23.06.2010 00:39 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB641.tmp --------- 65536
23.06.2010 00:35 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1.tmp --------- 0
23.06.2010 00:10 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\78.tmp --------- 0
23.06.2010 00:07 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\77.tmp --------- 0
23.06.2010 00:06 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\76.tmp --------- 0
----------------------------------------
C:\Programme
24.06.2010 17:33 C:\Programme\trend micro --------- 0
23.06.2010 19:38 C:\Programme\Lavasoft --------- 0
23.06.2010 00:17 C:\Programme\Malwarebytes' Anti-Malware --------- 0
22.06.2010 23:18 C:\Programme\Mozilla Thunderbird --------- 0
12.05.2010 20:02 C:\Programme\Outlook Express --------- 0
04.04.2010 02:27 C:\Programme\Mozilla Firefox --------- 0
31.03.2010 05:48 C:\Programme\Java --------- 0
13.03.2010 02:30 C:\Programme\SoulseekNS --------- 0
12.03.2010 06:27 C:\Programme\Movie Maker --------- 0
20.01.2010 08:52 C:\Programme\CCleaner --------- 0
19.11.2009 02:48 C:\Programme\Tinypic --------- 0
05.11.2009 06:43 C:\Programme\Avira --------- 0
09.10.2009 00:47 C:\Programme\iTunes --------- 0
09.10.2009 00:46 C:\Programme\iPod --------- 0
09.10.2009 00:45 C:\Programme\Bonjour --------- 0
09.10.2009 00:45 C:\Programme\Internet Explorer --------- 0
09.10.2009 00:45 C:\Programme\QuickTime --------- 0
09.10.2009 00:44 C:\Programme\Apple Software Update --------- 0
09.10.2009 00:43 C:\Programme\Gemeinsame Dateien --------- 0
28.08.2009 03:41 C:\Programme\Nokia --------- 0
28.08.2009 03:40 C:\Programme\DIFX --------- 0
28.08.2009 03:39 C:\Programme\PC Connectivity Solution --------- 0
29.06.2009 07:29 C:\Programme\DivX --------- 0
25.06.2009 21:17 C:\Programme\Microsoft Works --------- 0
05.03.2009 18:37 C:\Programme\Elantech --------- 0
17.02.2009 06:04 C:\Programme\PDFCreator --------- 0
20.12.2008 02:27 C:\Programme\ibf --------- 0
06.12.2008 06:56 C:\Programme\Windows Live --------- 0
06.12.2008 05:54 C:\Programme\Eee Storage --------- 0
05.12.2008 19:01 C:\Programme\VideoLAN --------- 0
05.12.2008 18:56 C:\Programme\OpenOffice.org 3 --------- 0
05.12.2008 18:52 C:\Programme\Alex Feinman --------- 0
05.12.2008 18:51 C:\Programme\Foxit Software --------- 0
05.12.2008 18:44 C:\Programme\MSBuild --------- 0
05.12.2008 18:44 C:\Programme\Reference Assemblies --------- 0
05.12.2008 18:38 C:\Programme\7-Zip --------- 0
05.12.2008 18:33 C:\Programme\NetSetMan --------- 0
05.12.2008 10:58 C:\Programme\BatteryInfo --------- 0
18.09.2008 02:29 C:\Programme\Messenger --------- 0
18.09.2008 02:22 C:\Programme\InstallShield Installation Information --------- 0
18.09.2008 02:17 C:\Programme\EeePC --------- 0
28.08.2008 01:39 C:\Programme\Realtek --------- 0
28.08.2008 01:17 C:\Programme\WIDCOMM --------- 0
13.08.2008 13:25 C:\Programme\RALINK --------- 0
12.08.2008 03:47 C:\Programme\Microsoft Office --------- 0
12.08.2008 03:39 C:\Programme\InterVideo --------- 0
12.08.2008 03:33 C:\Programme\Sun --------- 0
12.08.2008 03:11 C:\Programme\Skype --------- 0
12.08.2008 03:07 C:\Programme\ASUS --------- 0
12.08.2008 02:54 C:\Programme\Windows Live Toolbar --------- 0
12.08.2008 02:51 C:\Programme\Microsoft SQL Server Compact Edition --------- 0
12.08.2008 01:57 C:\Programme\Intel --------- 0
12.08.2008 00:23 C:\Programme\Uninstall Information --------- 0
12.08.2008 00:19 C:\Programme\xerox --------- 0
12.08.2008 00:19 C:\Programme\microsoft frontpage --------- 0
12.08.2008 00:19 C:\Programme\Windows Media Player --------- 0
12.08.2008 00:17 C:\Programme\WindowsUpdate --------- 0
12.08.2008 00:17 C:\Programme\Online-Dienste --------- 0
12.08.2008 00:17 C:\Programme\NetMeeting --------- 0
12.08.2008 00:16 C:\Programme\ComPlus Applications --------- 0
12.08.2008 00:15 C:\Programme\MSN Gaming Zone --------- 0
12.08.2008 00:15 C:\Programme\Windows NT --------- 0
08.05.2008 00:34 C:\Programme\U1 Setup.exe --------- 15523560
----------------------------------------
C:\Dokumente und Einstellungen\All Users\..
Dani
Administrator
LocalService
Gast
Default User
NetworkService
All Users
----------------------------------------
C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
----------------------------------------
Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 236 K
smss.exe 304 Console 0 956 K
csrss.exe 368 Console 0 7.244 K
winlogon.exe 392 Console 0 30.160 K
services.exe 436 Console 0 8.364 K
lsass.exe 448 Console 0 1.332 K
svchost.exe 600 Console 0 29.912 K
svchost.exe 672 Console 0 4.320 K
svchost.exe 752 Console 0 12.700 K
svchost.exe 784 Console 0 2.800 K
svchost.exe 832 Console 0 2.984 K
AAWService.exe 884 Console 0 44.708 K
unsecapp.exe 1076 Console 0 26.956 K
wmiprvse.exe 1312 Console 0 30.432 K
igfxsrvc.exe 1452 Console 0 12.152 K
AAWTray.exe 1584 Console 0 408 K
explorer.exe 2020 Console 0 26.976 K
HijackThis.exe 240 Console 0 1.252 K
notepad.exe 452 Console 0 312 K
wmiprvse.exe 1628 Console 0 6.120 K
cmd.exe 1780 Console 0 2.164 K
tasklist.exe 1972 Console 0 4.264 K
***** Ende des Scans 24.06.2010 um 17:50:14,89 ***
Code:
ATTFilter
7-Zip 4.57
Ad-Aware Lavasoft
Ad-Aware Email Scanner for Outlook Lavasoft 1.0.0
Adabas D 13.01.00 Sun Microsystems 13.0100.8895
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.0.45.2
Apple Application Support Apple Inc. 1.0
Apple Mobile Device Support Apple Inc. 2.6.0.32
Apple Software Update Apple Inc. 2.1.1.116
Asus ACPI Driver ASUSTek Computer 4.00.0003
ASUSUpdate for Eee PC
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver Atheros Communications Inc. 1.0.0.21
Avira AntiVir Personal - Free Antivirus Avira GmbH
Azurewave Wireless LAN RaLink 1.00.0000
Bonjour Apple Inc. 1.0.106
CCleaner Piriform 2.27
Compatibility Pack für 2007 Office System Microsoft Corporation 12.0.6425.1000
DivX Codec DivX, Inc. 6.8.5
DivX Converter DivX, Inc. 7.1.0
DivX Player DivX, Inc. 7.2.0
DivX Plus DirectShow Filters DivX, Inc.
DivX Web Player DivX,Inc. 1.5.0
Eee Instant Key ASUS 1.08
Eee Storage 1.1.15.197 ECAREME 1.1.15.197
ETDWare PS/2-x86 7.0.4.0 WHQL
Foxit Reader
HijackThis 2.0.2 TrendMicro 2.0.2
Intel(R) Graphics Media Accelerator Driver
InterVideo WinDVD InterVideo Inc. 5.0-B11.1244
iTunes Apple Inc. 9.0.1.8
Java(TM) 6 Update 19 Sun Microsystems, Inc. 6.0.190
Java(TM) 6 Update 3 Sun Microsystems, Inc. 1.6.0.30
Keil µVision3
Malwarebytes' Anti-Malware Malwarebytes Corporation
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation
Microsoft Office PowerPoint Viewer 2007 (German) Microsoft Corporation 12.0.6425.1000
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 3.1.0000
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729
Microsoft Works Microsoft Corporation 9.7.0621
Mozilla Firefox (3.6.3) Mozilla 3.6.3 (de)
Mozilla Thunderbird (2.0.0.24) Mozilla 2.0.0.24 (de)
NetSetMan 2.5.1 Ilja Herlein 2.5.1
Nokia Connectivity Cable Driver Nokia 7.1.17.0
Nokia PC Suite Nokia 7.1.30.9
Notebook BatteryInfo Thomas Michel 1.2.0.21
OpenOffice.org 3.0 OpenOffice.org 3.0.9358
PC Connectivity Solution Nokia 9.23.3.0
PDFCreator Frank Heindörfer, Philip Chinery 0.9.6
PSpice Student 9.1
QuickTime Apple Inc. 7.64.17.73
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 5.10.0.5683
Skype™ 3.6 Skype Technologies S.A. 3.6.248
SoulSeek 157 NS 13e
StarOffice 8 ASUS Edition Sun Microsystems 8.00.9251
Super Hybrid Engine ASUS 1.12
Target 3001! V14 discover Ing. Buero FRIEDRICH
Tinypic 3.14 E. Fiedler Tinypic 3.14
Uninstall 1.0.0.1
VLC media player 0.9.6 VideoLAN Team 0.9.6
WIDCOMM Bluetooth Software WIDCOMM, Inc. 5.5.0.4100
Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation
Windows Live Anmelde-Assistent Microsoft Corporation 5.000.818.6
Windows Live Fotogalerie Microsoft Corporation 12.0.1329.0201
Windows Live installer Microsoft Corporation 12.0.1471.1025
Windows Live Mail Microsoft Corporation 12.0.1606.1023
Windows Live Messenger Microsoft Corporation 8.5.1302.1018
Windows Live Toolbar Microsoft Corporation 03.01.0146
Windows Live Writer Microsoft Corporation 12.0.1370.0325
Windows-Treiberpaket - Nokia Modem (06/01/2009 4.1) Nokia 06/01/2009 4.1
Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.3) Nokia 06/01/2009 7.01.0.3
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) Nokia 08/22/2008 7.0.0.0
|
|
24.06.2010, 11:51
| #5 |
| | Trojaner AV Security Suit Hmm.. ich habe die Anweisungen jetzt mit den aktuellsten Versionen der Tools mehrmals durchgeführt. Leider ist er immernoch drauf. Kann mir jemand helfen? Was kann ich noch tun? |
|
24.06.2010, 13:52
| #6 |
| /// Helfer-Team | Trojaner AV Security Suit hi kannst in den normalen Modus auch die Tools ausführen? Code:
ATTFilter Dani
Administrator
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1) Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!: Code:
ATTFilter Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.28 -
AntiVir 7.9.0.60 2009.01.28 -
Authentium 5.1.0.4 2009.01.27 -
...über 40 Virenscannern...also Geduld!!
Geändert von kira (24.06.2010 um 14:00 Uhr) |
|
25.06.2010, 08:32
| #7 |
| | Trojaner AV Security Suit Hi, doch das Benutzerkonto "Administrator" war vorher anscheinend auch schon da, nur hab ich es nie gesehen weil ich meinen PC zuvor nie im abgesicherten Modus hochgefahren hatte. Freunde von mir sagten dass der "Addministrator" von Anfang an auf dem PC war. Wenn ich den PC normal hochfahre und dann Alt+Strg+Entf drücke, kann ich mich wie in Windows 2000 anmelden. Theoretisch auch mir dem Benutzer "Administrator". Dies geht aber nicht. Es erscheint folgende Fehlermeldung von Windows: "Auf Grund der Benutzerkontenbeschränkung ist eine Anmeldung nicht möglich". Ich glaube auch das hier ein mögliches Problem liegt. Ich habe also im abgesicherten Modus "Administrator", oben (23.06.2010, 23:14) beschriebenes Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren. Danach im abgesicherten Modus "Mustermann", oben (23.06.2010, 23:14) beschriebenes Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren. Jetzt habe ich den PC im normalen Modus hochgefahren. Wie beschrieben kann ich hier nur auf den Benutzer "Mustermann" zugreifen. Jetzt wieder oben (23.06.2010, 23:14) beschriebenes Prozedere (mit Fullcheck) durchgeführt. So, jetzt dachte ich ich hab ihn gekillt. Ich habe die Netzwerkverbindung wieder hersgestellt und gehofft "AV Security Suit" meldet sich nicht mehr. Dem war auch so. Aber dann..., als ich den PC ein zweites mal hochgefahren hatte war er wieder da. Hab nicht ganz verstanden wo ich es reinkopieren soll. Ich nehme an hier als Code. Hoffentlich meinst du es so... hab einfach mal das komplette Ergebis kopiert. Ein paar Vierenscanner haben hier ja wirklich einen Virus erkannt, oder? Code:
ATTFilter
Datei wntumsutssd.exe empfangen 2010.06.25 07:13:29 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/41 (14.64%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen",
damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.30 2010.06.22 -
AhnLab-V3 2010.06.22.00 2010.06.22 Trojan/Win32.FakeAV
AntiVir 8.2.2.6 2010.06.21 -
Antiy-AVL 2.0.3.7 2010.06.22 -
Authentium 5.2.0.5 2010.06.22 -
Avast 4.8.1351.0 2010.06.21 -
Avast5 5.0.332.0 2010.06.21 -
AVG 9.0.0.787 2010.06.21 -
BitDefender 7.2 2010.06.22 -
CAT-QuickHeal 10.00 2010.06.22 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.06.22 -
Comodo 5180 2010.06.22 -
DrWeb 5.0.2.03300 2010.06.22 -
eSafe 7.0.17.0 2010.06.20 -
eTrust-Vet 36.1.7657 2010.06.22 -
F-Prot 4.6.1.107 2010.06.21 -
F-Secure 9.0.15370.0 2010.06.22 -
Fortinet 4.1.133.0 2010.06.21 -
GData 21 2010.06.22 -
Ikarus T3.1.1.84.0 2010.06.22 -
Jiangmin 13.0.900 2010.06.15 -
Kaspersky 7.0.0.125 2010.06.22 -
McAfee 5.400.0.1158 2010.06.22 -
McAfee-GW-Edition 2010.1 2010.06.22 Artemis!D84F68797B1F
Microsoft 1.5902 2010.06.22 -
NOD32 5216 2010.06.21 -
Norman 6.05.06 2010.06.21 -
nProtect 2010-06-21.01 2010.06.21 -
Panda 10.0.2.7 2010.06.21 Adware/AntiSpywareSoft
PCTools 7.0.3.5 2010.06.22 -
Prevx 3.0 2010.06.25 High Risk Fraudulent Security Program
Rising 22.53.01.04 2010.06.22 -
Sophos 4.54.0 2010.06.22 -
Sunbelt 6483 2010.06.21 -
Symantec 20101.1.0.89 2010.06.22 Suspicious.Cloud
TheHacker 6.5.2.0.302 2010.06.22 -
TrendMicro 9.120.0.1004 2010.06.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.22 -
VBA32 3.12.12.5 2010.06.22 -
ViRobot 2010.6.21.3896 2010.06.22 -
VirusBuster 5.0.27.0 2010.06.21 -
weitere Informationen
File size: 278784 bytes
MD5...: d84f68797b1f40c3df3ff56c76153934
SHA1..: ebed9e2bf4f43c8e271d459a959eb47756515818
SHA256: 8513effc42e251f286b7b57047d01fd33ea308802e72acab87da478d89ced216
ssdeep: 6144:KfpkyHQoLSc5uUhJpmq2pZwdfYlHA7UPzGmEJjou:8HQI5ZNdfWHA7UiKu
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1279
timedatestamp.....: 0x42f228cb (Thu Aug 04 14:40:11 2005)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2154e 0x21600 7.57 4854df2d439cd337fe49cb70684f8986
.rdata 0x23000 0x14c 0x200 3.32 bbe4fd6bd78869cab244308e901e70c7
.data 0x24000 0x21ea8 0x22000 7.79 a7b08e6c2828009ca27d0b92a0b76144
.rsrc 0x46000 0x23000 0x400 1.96 9298003bc3553355d1e1355071a7b180
( 2 imports )
> USER32.dll: EnumWindows, CreateDialogParamA, EndDialog, IsDialogMessageA, FillRect
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, LoadResource, FreeResource, LockResource, ExitProcess, TerminateProcess
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
|
|
25.06.2010, 20:18
| #8 |
| /// Helfer-Team | Trojaner AV Security Suit hi Da diese Dateien (noch) nicht bei allen Herstellern von Removern, Antiviren Programmen und Spyware Schutz Programmen bekannt sind, laden wir zur weitere Analyse zum Hersteller des Removers hoch: Datei Upload
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
|
|
26.06.2010, 01:46
| #9 |
| | Trojaner AV Security Suit Hallo, jep, habe das File hochladen können. "Your file (wntumsutssd.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file." Gruß |
|
26.06.2010, 11:02
| #10 |
| /// Helfer-Team | Trojaner AV Security Suit hi 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. Lade und installiere das Tool RootRepeal herunter
|
|
26.06.2010, 15:37
| #11 |
| | Trojaner AV Security Suit Hallo, habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator" durchgeführt. Hoffe das geht in Ordnung so. GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-27 00:03:47
Windows 5.1.2600 Service Pack 3
Running: uxrg2fhz.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgxorkog.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Fastfat \Fat F691FD20
---- EOF - GMER 1.0.15 ----
--- --- --- Häkchen bei: Drivers, Hidden und Stealth Code:
ATTFilter ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/06/27 00:15
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6FA3000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AB0000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF6BBB000 Size: 49152 File Visible: No Signed: -
Status: -
==EOF==
|
|
26.06.2010, 15:44
| #12 |
| | Trojaner AV Security Suit Hi, habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator" durchgeführt. Hoffe das geht in Ordnung so. [CODE] GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-27 00:03:47
Windows 5.1.2600 Service Pack 3
Running: uxrg2fhz.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgxorkog.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Fastfat \Fat F691FD20
---- EOF - GMER 1.0.15 ----
--- --- --- Code:
ATTFilter ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/06/27 00:15
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6FA3000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AB0000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF6BBB000 Size: 49152 File Visible: No Signed: -
Status: -
==EOF==
|
|
26.06.2010, 15:47
| #13 |
| | Trojaner AV Security Suit Sorry, zweite Seite nicht gesehen. Deswegen zweimal gepostet. |
|
27.06.2010, 08:04
| #14 |
| /// Helfer-Team | Trojaner AV Security Suit hi 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code:
ATTFilter C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
→ Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter O4 - HKLM\..\Run: [cwdalaoh] C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
O21 - SSODL: UpdateCheck - {8A4AB032-6976-4CB0-B08E-230683C1FFD9} - (no file)
poste erneut - nach der vorgenommenen Reinigungsaktion: ► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
|
27.06.2010, 12:05
| #15 | |
| | Trojaner AV Security Suit Hallo, noch eine kurze Frage bevor ich mit den Aktionen beginne. Ich führe alles im abgesicherten Modus durch? Zitat:
Muss ich TrendMicro kaufen, oder kann ich ein anderes Prog. verwenden? |
|
| Themen zu Trojaner AV Security Suit |
| ad-aware, administrator, anti-malware, benutzerkonten, dateien, detected, einstellungen, explorer, falsche, forum, infected, log, malwarebytes, microsoft, neustart., nicht mehr, rkill, security, security suit, service pack 3, software, system, system volume information, trojan.agent, trojan.dropper, trojaner, verbindung, vieren, wichtig |
Linear-Darstellung
