Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Probleme mit Firewall etc. - Skepsis gegenüber dem eigenen System (https://www.trojaner-board.de/46595-probleme-firewall-etc-skepsis-gegenueber-eigenen-system.html)

Der Don 03.12.2007 17:52
Probleme mit Firewall etc. - Skepsis gegenüber dem eigenen System
 
Hallo erstmal. :)

Als ich vor ein paar Tagen im Internet surfte, begann meine Maus auf einmal zu spinnen. Heißt: Sie bewegte sich vollkommen unkontrolliert über den Bildschirm. Da ich zuerst ein Problem mit der Hardware vermutete (weder Comodo-Firewall noch Antivir hatten irgendwas gemeldet und die Maus bewegte sich nicht zielgerichtet, sondern vollkommen wirr und planlos), kam mir das noch nicht sonderlich komisch vor. Als ich aber zur Sicherheit beschloss, erst einmal die Internetverbindung zu trennen, bewegte sich die Maus auf einmal wieder ganz normal.

Nachträgliche Scanns mit Antivir und Ad-Aware lieferten ebenfalls keine Hinweise auf irgendeinen Befall außerhalb der üblichen Cookies. Als ich es aber mit SpyBot versuchte, gab der PC seinen Geist auf (ich meine damit weder Absturz noch Herunterfahren. Eher knipste er sich einfach aus, als hätte ich den An/Aus-Schalter betätigt).

Seit dem Vorfall meldet Comodo Defense+ die firefox.exe als "not trusted application", die bei jedem Aufruf von Firefox versucht, gesicherte Registry-Einträge zu verändern. Blockiert man diese Versuche, wird Firefox aber dennoch ganz normal gestartet.

Ich wollte eigentlich auch gleich ein HijackThis-Logfile mitsenden, aber sobald ich das Programm runterladen will, erscheint wieder die Comodo-Warnung, dass Firefox nicht vertrauenswürdig wäre, so dass aus Sicherheit erst einmal vom Download abgesehen habe.

Da ich bereits des Öfteren über dieses Forum gestolpert bin und ihr mir einen kompetenten Eindruck macht, würde mich interessieren, was ihr davon haltet und wie ich weiter vorzugehen habe.

MightyMarc 03.12.2007 18:19
Wenn es denn auch mit dem IE nicht geht hilft vllt folgendes:

Start > Ausführen > CMD
Code:
ftp -A ftp.unileon.es
cd pub/soft/util/limpiar sistema/
get HijackThis.exe "C:\Dokumente und Einstellungen\Benutzername\Desktop\Hjt.exe"
bye
Gruß

Marc

P.S.: Pfad gegebenenfalls anpassen

Edit:
Hier findest Du ftp-Mirros. Musst halt ftp-Server und CD-Kommando anpassen:
HijackThis.exe - FTP Mirror Search

Der Don 03.12.2007 18:34
Jupp, hat geklappt mit IE. Hoffe, ich habe jetzt nix übersehen.

~

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:56, on 03.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\programme\winamp toolbar\WinampTbServer.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 7075 bytes

MightyMarc 03.12.2007 18:45
Ich kann auf den ersten Blick nichts erkennen, was aber nichts bedeuten muss. Warte einfach mal bis einer der Leute reinschneit, die bei Schädlingssuche nicht so aus der Übung sind wie ich.

Gruß

Marc

P.S.: Du könnest in der Zwischenzeit mal Blacklight und Rottkitrevealer laufen lassen (Google hilft Dir da weiter).

Der Don 03.12.2007 19:31
Zitat:
Zitat von MightyMarc (Beitrag 308200)
P.S.: Du könnest in der Zwischenzeit mal Blacklight und Rottkitrevealer laufen lassen (Google hilft Dir da weiter).
Hab ich jetzt gemacht. Blacklight hat nix gefunden, Rootkitrevealer einen Haufen Cookies und 4 Einträge, die ich nicht verstehe. Ich poste mal die Diagnose:

~ Teil 1 ~

HKU\S-1-5-21-1957994488-1788223648-839522115-1003\Software\Adobe\MediaBrowser\MRU\illustrator\ApplicationPath 19.04.2007 19:53 87 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 03.03.2007 17:41 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 03.03.2007 17:41 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg 20.04.2007 19:24 0 bytes Access is denied.
C:\Dokumente und Einstellungen\***\Cookies\***@128506[1].txt 03.12.2007 18:59 110 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@cgi.zdnet[1].txt 03.12.2007 18:59 94 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@cgi.zdnet[2].txt 03.12.2007 18:53 95 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Cookies\***@ivwbox[4].txt 03.12.2007 19:00 83 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@pcwelt[2].txt 03.12.2007 18:59 101 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@pcwelt[3].txt 03.12.2007 19:00 77 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@php.zdnet[1].txt 03.12.2007 18:59 91 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@php.zdnet[2].txt 03.12.2007 18:53 92 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Cookies\***@revsci[2].txt 03.12.2007 18:59 253 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@web.zdnet[1].txt 03.12.2007 18:59 91 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@web.zdnet[2].txt 03.12.2007 18:53 92 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Cookies\***@www.pcwelt[1].txt 03.12.2007 19:00 1021 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@www.zdnet[1].txt 03.12.2007 18:53 94 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Cookies\***@www.zdnet[2].txt 03.12.2007 18:59 93 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@zdnet[1].txt 03.12.2007 18:59 350 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Cookies\***@zdnet[2].txt 03.12.2007 18:53 351 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\22mbtt5d.default\Cache\42B77B3Cd01 03.12.2007 19:14 31.94 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\01[1].gif 03.12.2007 18:59 1.33 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\01[2].gif 03.12.2007 19:00 345 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\0[1].gif 03.12.2007 18:59 43 bytes Hidden from Windows API.

Der Don 03.12.2007 19:33
~ Teil II ~

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\144x144[1].jpg 03.12.2007 18:59 10.11 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\30[1].gif 03.12.2007 19:00 515 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\817-grey[1].gif 03.12.2007 18:59 43 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\a_right_newsbox_white[1].gif 03.12.2007 18:59 191 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\ad_functions[1].css 03.12.2007 18:59 168 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\ad_functions[1].js 03.12.2007 18:59 4.58 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\bigsky;abr=!webtv;dcopt=ist;sz=160x800;kw=;ptile=30;;ord=82[2] 03.12.2007 19:00 3.67 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\blank[1].gif 03.12.2007 18:59 43 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\CA0YSX9M.htm 03.12.2007 18:52 20.33 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\CA2VW9A7.jsp 03.12.2007 19:00 61 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\CACLURKH.1196704783&ga_sid=1196704783&ga_hid=470000336&flash=9&u_h=768&u_w=1280&u_ah=768&u_aw=1280&u_cd=32&u_tz=60&u_his=3& u_java=true 03.12.2007 18:59 1.67 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\CAEBS1A7.1196704783&ga_sid=1196704783&ga_hid=470000336&flash=9&u_h=768&u_w=1280&u_ah=768&u_aw=1280&u_cd=32&u_tz=60&u_his=3& u_java=true 03.12.2007 18:59 4.88 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\CARKPTR8.asp 03.12.2007 19:00 1.97 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\CAUXC7SB.jsp 03.12.2007 18:59 1.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\CAVS2WY2.htm 03.12.2007 18:59 19.81 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\DartRichMedia_1_03[1].js 03.12.2007 18:59 799 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\dhtmlXCommon[1].js 03.12.2007 18:59 13.43 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\DM_Client[1].js 03.12.2007 18:59 10.77 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\formularmpu[1].js 03.12.2007 18:59 8.89 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\hbx[1].js 03.12.2007 18:59 15.18 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\head_bg[1].gif 03.12.2007 18:59 10.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\hitboxpcwstatic[1].js 03.12.2007 18:59 1.61 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\icon_digg[1].gif 03.12.2007 18:59 234 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\icon_newstube[1].gif 03.12.2007 18:59 545 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\icon_send[1].gif 03.12.2007 18:59 69 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\mpu;abr=!webtv;dcopt=ist;sz=1x1;kw=;ptile=10;;ord=14[2] 03.12.2007 18:59 307 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\pcx[1].js 03.12.2007 18:59 60 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\play-overlay[1].gif 03.12.2007 18:59 1.17 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\promobox2;abr=!webtv;dcopt=ist;sz=1x1;ptile=40;;ord=14[2] 03.12.2007 18:59 255 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\scripts[1].js 03.12.2007 18:59 1.26 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\seite_nicht_gefunden[1].htm 03.12.2007 19:00 41.09 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\spacer_1x1[1].gif 03.12.2007 18:59 43 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\thl_bg[1].gif 03.12.2007 18:59 197 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\topnav_computer_s[1].gif 03.12.2007 18:59 2.28 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ34TU7\tsc[1].jsp 03.12.2007 19:00 97 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\128506[1].htm 03.12.2007 18:59 89.28 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\14[1].gif 03.12.2007 19:00 487 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\160x120[1].jpg 03.12.2007 18:59 5.66 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\a_middle_newsbox_white[1].gif 03.12.2007 18:59 134 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\banner[1].css 03.12.2007 18:59 3.52 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\bg_footer_l[1].gif 03.12.2007 18:59 1.56 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\bigsky;abr=!webtv;dcopt=ist;sz=160x800;kw=;ptile=30;;ord=14[2] 03.12.2007 18:59 3.74 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\btn_go[1].gif 03.12.2007 18:59 652 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\CA6BQTM5.1196704813&ga_sid=1196704813&ga_hid=781924192&flash=9&u_h=768&u_w=1280&u_ah=768&u_aw=1280&u_cd=32&u_tz=60&u_his=4& u_java=true 03.12.2007 19:00 1.52 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\CAIBOPQN.jsp 03.12.2007 18:59 5.36 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\CAMJKT0F.1196704813&ga_sid=1196704813&ga_hid=781924192&flash=9&u_h=768&u_w=1280&u_ah=768&u_aw=1280&u_cd=32&u_tz=60&u_his=4& u_java=true 03.12.2007 19:00 4.51 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\content[1].css 03.12.2007 18:59 55.71 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\digicam[1].jpg 03.12.2007 18:59 2.38 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\icon_google[1].gif 03.12.2007 18:59 991 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\icon_moreontopic[1].gif 03.12.2007 18:59 350 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\icon_newsletter[1].gif 03.12.2007 18:59 71 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\icon_wong[1].gif 03.12.2007 18:59 1007 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\icon_yahoo[1].gif 03.12.2007 18:59 85 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\layer;abr=!webtv;dcopt=ist;sz=1x1;kw=;ptile=70;ord=14[2] 03.12.2007 18:59 307 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\layer;abr=!webtv;dcopt=ist;sz=1x1;kw=;ptile=70;ord=82[2] 03.12.2007 19:00 307 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\p_middle_newsbox_white[1].gif 03.12.2007 18:59 323 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\paVXpyRYpoEHc[1].jpg 03.12.2007 18:59 2.76 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\pcx[1].js 03.12.2007 19:00 60 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\preload[1].js 03.12.2007 18:59 658 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\promobox1;abr=!webtv;dcopt=ist;sz=1x1;ptile=20;;ord=82[2] 03.12.2007 19:00 307 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\qs.ivwbox[1] 03.12.2007 18:59 199 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\search_bg[1].gif 03.12.2007 18:59 112 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\shadow_content[1].gif 03.12.2007 18:59 234 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\subnav_spacer[1].gif 03.12.2007 18:59 51 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\tabbar[1].css 03.12.2007 18:59 6.60 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\top_nav_spacer[1].gif 03.12.2007 18:59 281 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\topnav_bg_on[1].gif 03.12.2007 18:59 184 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\topnav_dot_s[1].gif 03.12.2007 18:59 298 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9MF4L63\topnav_it_s[1].gif 03.12.2007 18:59 1.51 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\070925_423_pcw_sh12_07_sky_120x600_v03[1].swf 03.12.2007 18:59 41.23 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\156main[1].jpg 03.12.2007 18:59 3.12 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\ang[1].gif 03.12.2007 18:59 18.32 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\arrow[1].gif 03.12.2007 18:59 46 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\article_nav_bg[1].gif 03.12.2007 18:59 1.68 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\bg_footer_p[1].gif 03.12.2007 18:59 1.03 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\bumblebee[1].jpg 03.12.2007 18:59 3.69 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\button[1].gif 03.12.2007 18:59 615 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\custom[1].htm 03.12.2007 18:59 23.34 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\data_bg_big[1].gif 03.12.2007 19:00 317 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\deNV2V-wc[1].htm 03.12.2007 18:59 59.24 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\et_banner_intern_pg[1].gif 03.12.2007 18:59 17.60 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\full;abr=!webtv;dcopt=ist;sz=1x1;kw=;ptile=60;;ord=14[2] 03.12.2007 18:59 307 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\full;abr=!webtv;dcopt=ist;sz=1x1;kw=;ptile=60;;ord=82[2] 03.12.2007 19:00 307 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\handlesurvey[1].js 03.12.2007 18:59 380 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\icon_delic[1].gif 03.12.2007 18:59 82 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\icon_folkd[1].gif 03.12.2007 18:59 546 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\icon_print[1].gif 03.12.2007 18:59 70 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\icon_servicelink[1].gif 03.12.2007 18:59 585 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\icon_yigg[1].gif 03.12.2007 18:59 533 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\index[1].cfm 03.12.2007 19:00 19.29 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\index[1].htm 03.12.2007 19:00 91.82 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\layermenu[1].js 03.12.2007 18:59 5.67 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\leaderboard_bg[1].gif 03.12.2007 18:59 2.36 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\main[1].js 03.12.2007 18:59 1.69 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\p_left_newsbox_white[1].gif 03.12.2007 18:59 325 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\p_right_newsbox_white[1].gif 03.12.2007 18:59 332 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\pcwtv-teaser-oben[1].gif 03.12.2007 18:59 1.06 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\promobox3;abr=!webtv;dcopt=ist;sz=1x1;ptile=50;;ord=82[2] 03.12.2007 19:00 255 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\search[2].htm 03.12.2007 18:52 6.72 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\survey[1].js 03.12.2007 18:59 448 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\sw_load_foot[1].jpg 03.12.2007 18:59 3.41 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\teaser[1].css 03.12.2007 18:59 13.65 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\tipp_db[1].jpg 03.12.2007 18:59 2.52 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\topnav_on_left[1].gif 03.12.2007 18:59 285 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\tsc[1].jsp 03.12.2007 18:59 97 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFWPQ3\xmas_logo_2007[1].gif 03.12.2007 18:59 8.09 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\02[1].gif 03.12.2007 19:00 365 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\070903_416_pcw_aktion1007_sky_120x600_v03[1].swf 03.12.2007 19:00 39.09 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\817-grey[1].gif 03.12.2007 18:52 43 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\a_left_newsbox_white[1].gif 03.12.2007 18:59 140 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\al[1].htm 03.12.2007 18:59 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\basic[1].js 03.12.2007 18:59 793 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\bg_paging[1].gif 03.12.2007 18:59 299 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\data_bg[1].gif 03.12.2007 19:00 266 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\default[1].js 03.12.2007 18:59 1.57 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\deNV2V-wc[1].htm 03.12.2007 18:52 59.04 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\deNV2V_is-wc[1].html 03.12.2007 18:53 10.38 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\dhtmlXTabbar[1].js 03.12.2007 18:59 34.28 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\dld-utilities;kw=Downloads;sz=468x60;tile=1;dcopt=ist;ord=28643[2] 03.12.2007 18:59 306 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\elu.zdnet[2].de;ptile=1;dcopt=ist;ord=28643 03.12.2007 18:59 245 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\gw[1].js 03.12.2007 18:59 4.68 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\header[1].gif 03.12.2007 18:59 2.67 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\icon_bookmark[1].gif 03.12.2007 18:59 71 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\icon_forum[1].gif 03.12.2007 18:59 68 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\icon_linkarena[1].gif 03.12.2007 18:59 85 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\icon_webnews[1].gif 03.12.2007 18:59 618 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\jobs[1].jpg 03.12.2007 18:59 2.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\mpu;abr=!webtv;dcopt=ist;sz=1x1;kw=;ptile=10;;ord=82[2] 03.12.2007 19:00 307 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\nav_dot[1].gif 03.12.2007 18:59 53 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\pcwtv-teaser-unten[1].gif 03.12.2007 18:59 1.47 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\pfeil-links[1].gif 03.12.2007 18:59 821 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\pfeil-rechts[1].gif 03.12.2007 18:59 49 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\promobox1;abr=!webtv;dcopt=ist;sz=1x1;ptile=20;;ord=14[2] 03.12.2007 18:59 307 bytes Hidden from Windows API.

Der Don 03.12.2007 19:34
~ Teil III ~

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\promobox2;abr=!webtv;dcopt=ist;sz=1x1;ptile=40;;ord=82[2] 03.12.2007 19:00 255 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\promobox3;abr=!webtv;dcopt=ist;sz=1x1;ptile=50;;ord=14[2] 03.12.2007 18:59 255 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\rss_icon[1].gif 03.12.2007 18:59 1010 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\standard[1].css 03.12.2007 18:59 7.74 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\style[1].css 03.12.2007 18:59 3.55 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXANCP2R\sudoku[1].jpg 03.12.2007 18:59 4.9

~

Aus irgendeinen Grund ist RootRevealer während der Speicherung der Daten abgestürzt, deswegen folgt im Text nichts mehr nach der 4.9.

/edit: Die "sudoku[1].jpg" war aber auch die letzte aufgelistete Datei.

Der Don 05.12.2007 19:18
Auch wenn ich mit dem Doppelpost was riskieren sollte: Kann man den Thread vielleicht ins HiJack-Logfile-Forum verschieben, sonst denken vielleicht alle, es kümmert sich schon jemand um mich. Und ich will nicht vergessen werden. :(

Falls aber im Moment nur tatsächlich keiner Zeit haben sollte, bitte ich darum, diesen Post zu entschuldigen. ;)

/edit: Oder ich Marc falsch verstanden habe und er sich doch noch um mich kümmert. Nix für ungut dann. ;)

Franz1968 05.12.2007 19:36
Hallo,
Zitat:
Auch wenn ich mit dem Doppelpost was riskieren sollte:
sich nach zwei Tagen in Erinnerung zu rufen finde ich ok. ;)
Die folgende Datei
Zitat:
C:\WINDOWS\system32\guard32.dll
prüfe bitte bei Virustotal und poste das komplette Ergebnis, auch wenn nichts gefunden werden sollte.

Führe außerdem nach der folgenden Anleitung einen Scan mit Silentrunners durch; auch hier das komplette Ergebnis bzw. den Report posten:
Zitat:
Zitat von KarlKarl
Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten.
Zu deinem RootkitRevealer-Ergebnis kann ich mangels Erfahrung leider nix sagen. :o

Noch eine Nachfrage: Welcher Browser war offen, als das HijackThis-Logfile erstellt wurde?

Der Don 05.12.2007 19:55
Gelaufen sind Firefox und IE 6. Letzteren hatte ich nur speziell wegen dem ersten beschriebenen Ratschlag in diesem Thread benutzt.

Die Programme laufen noch. Ich reiche sie dann gleich nach.

Der Don 05.12.2007 19:59
Das sagt VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.5.0 2007.12.05 -
AntiVir 7.6.0.34 2007.12.05 -
Authentium 4.93.8 2007.12.05 -
Avast 4.7.1098.0 2007.12.05 -
AVG 7.5.0.503 2007.12.05 -
BitDefender 7.2 2007.12.05 -
CAT-QuickHeal 9.00 2007.12.05 -
ClamAV 0.91.2 2007.12.05 -
DrWeb 4.44.0.09170 2007.12.05 -
eSafe 7.0.15.0 2007.12.05 -
eTrust-Vet 31.3.5353 2007.12.05 -
Ewido 4.0 2007.12.05 -
FileAdvisor 1 2007.12.05 -
Fortinet 3.14.0.0 2007.12.05 -
F-Prot 4.4.2.54 2007.12.05 -
F-Secure 6.70.13030.0 2007.12.05 -
Ikarus T3.1.1.12 2007.12.05 -
Kaspersky 7.0.0.125 2007.12.05 -
McAfee 5178 2007.12.05 -
Microsoft 1.3007 2007.12.05 -
NOD32v2 2701 2007.12.05 -
Norman 5.80.02 2007.12.05 -
Panda 9.0.0.4 2007.12.04 -
Prevx1 V2 2007.12.05 -
Rising 20.21.20.00 2007.12.05 -
Sophos 4.24.0 2007.12.05 -
Sunbelt 2.2.907.0 2007.12.05 -
Symantec 10 2007.12.05 -
TheHacker 6.2.9.150 2007.12.05 -
VBA32 3.12.2.5 2007.12.04 -
VirusBuster 4.3.26:9 2007.12.05 -
Webwasher-Gateway 6.6.2 2007.12.05 -
weitere Informationen
File size: 139008 bytes
MD5: 376bfa39240ecd86c4f3cd132c8aa73f
SHA1: 8355b0a40063e72bb64f1ad2f54f5de10d81946f
PEiD: -

Der Don 05.12.2007 20:07
... und das Silent Runner Loh (nur dass der Prozess nicht so "long" gedauert hat, wie suggeriert wurde)

"Silent Runners.vbs", revision 53, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9" ["Adobe Systems Incorporated"]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"ares" = ""C:\Programme\Ares\Ares.exe" -h" ["Ares Development Group"]
"eMuleAutoStart" = "C:\Programme\eMule\emule.exe -AutoStart" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Orb" = ""C:\Programme\Winamp Remote\bin\OrbTray.exe" /background" ["Orb Networks"]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Adobe Version Cue CS2" = ""C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"" ["Adobe Sytems Incorporated"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"NWEReboot" = (empty string) [file not found]
"PWRISOVM.EXE" = "C:\Programme\PowerISO\PWRISOVM.EXE" ["PowerISO Computing, Inc."]
"COMODO Firewall Pro" = ""C:\Programme\Comodo\Firewall\cfp.exe" -s" ["COMODO"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\(Default) = "Winamp Toolbar BHO"
-> {HKLM...CLSID} = "Winamp Toolbar BHO"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" = "PowerISO"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dMCShell.dll" ["Illustrate"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = " C:\WINDOWS\system32\guard32.dll" [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
{FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dBShell.dll" ["Illustrate"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
MagicISO\(Default) = "{DB85C504-C730-49DD-BEC1-7B39C6103B7A}"
-> {HKLM...CLSID} = "MShellExtMenu Class"
\InProcServer32\(Default) = "C:\Programme\MagicISO\misosh.dll" ["MagicISO, Inc."]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
MagicISO\(Default) = "{DB85C504-C730-49DD-BEC1-7B39C6103B7A}"
-> {HKLM...CLSID} = "MShellExtMenu Class"
\InProcServer32\(Default) = "C:\Programme\MagicISO\misosh.dll" ["MagicISO, Inc."]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
MagicISO\(Default) = "{DB85C504-C730-49DD-BEC1-7B39C6103B7A}"
-> {HKLM...CLSID} = "MShellExtMenu Class"
\InProcServer32\(Default) = "C:\Programme\MagicISO\misosh.dll" ["MagicISO, Inc."]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\Eigene Bilder\saturn.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "***" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}" = "Winamp Toolbar"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Research"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
COMODO Firewall Pro Helper Service, cmdAgent, ""C:\Programme\Comodo\Firewall\cmdagent.exe"" ["COMODO"]
SmartLinkService, SLService, "slserv.exe" [" "]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


---------- (launch time: 2007-12-05 20:01:21)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 136 seconds.
---------- (total run time: 254 seconds)


/edit1: vergessen, meinen namen zu ändern. kommt gleich noch einmal

/edit 2: alles wieder da

Franz1968 05.12.2007 20:37
Führe bitte auch Combofix aus und poste den Report.

An der von dir gescannten Datei (guard32.dll) scheinen sich die Geister zu scheiden. Sie könnte zu deiner Firewall gehören - oder eben doch schädlich sein. Ich schlage vor, du lädst sie zur Analyse bei Avira hoch und schickst sie auch an Kaspersky (newvirus@kaspersky.com). Sobald du in einigen Tagen Antworten bekommst, poste sie bitte.
Zitat:
Kann man den Thread vielleicht ins HiJack-Logfile-Forum verschieben
Das ist übrigens eine gute Idee. Bitte einen der Admins, am besten GUA, per PN darum.

KarlKarl 05.12.2007 21:26
Hi,

guard32.dll : CastleCops® guard32.dll

Gruß, Karl

Der Don 05.12.2007 22:38
@guard32.dll: Wem soll ich glauben? Karl oder Franz? :P

[Was Combofix angeht, hab ich grad selbstverschuldet aus Paranoia vor unberechtigten Zugriffen was ungeheuer Dämliches angestellt: Kurze Fassung: Wie deinstalliere ich den Ordner C:\Combofix komplett bzw. kann ich es irgendwie machen das Combofix in einem anderen Ordner neu entpackt wird?]

/edit: Hab das Problem versucht zu beheben, indem ich einfach den ComboFix-Ordner umbenannt und dann neu installiert hab. Das Problem jetzt (und vorher): Bei der Aufzählung von Prozessen, die es am Anfang macht, hört das Programm bei "29" auf.

Franz1968 06.12.2007 13:27
Zitat:
Zitat von Der Don (Beitrag 308529)
@guard32.dll: Wem soll ich glauben? Karl oder Franz? :P
:D
Sagen wir so: Du darfst der von Karl verlinkten Website glauben. ;) Ich tue es in der Regel auch; die weitere Analyse der guard32.dll sollte sich daher erledigt haben.

Zitat:
[Was Combofix angeht, hab ich grad selbstverschuldet aus Paranoia vor unberechtigten Zugriffen was ungeheuer Dämliches angestellt: Kurze Fassung: Wie deinstalliere ich den Ordner C:\Combofix komplett bzw. kann ich es irgendwie machen das Combofix in einem anderen Ordner neu entpackt wird?]
Das kann ich so nicht nachvollziehen, denn wenn ich es richtig sehe, stört Combofix sich nicht an einem bereits existierenden Ordner C:\Combofix. Was genau hast du denn gemacht?

Der Don 06.12.2007 19:18
Zitat:
Zitat von Franz1968 (Beitrag 308593)
Das kann ich so nicht nachvollziehen, denn wenn ich es richtig sehe, stört Combofix sich nicht an einem bereits existierenden Ordner C:\Combofix. Was genau hast du denn gemacht?
Gut, von Anfang an:

1. Combofix gemäß der Anleitung installiert
2. Ich habe Comodo Defense+ auf meinem Rechner laufen. Dieses Programm funktioniert wie eine "Firewall im Inneren". Jeder laufende Prozess wird kontrolliert und registriert. Und wenn eine unbekannte Anwendung etwas wichtiges macht z.b. einen Registry-Eintrag erstellt etc. wird der Anwender gefragt ob diese Anwendung das darf.
3. Als ich Combofix ausführte, meldete sich natürlich Defense+, und zwar mit lauter Programmmeldungen, die mir unbekannt waren (logischerweise, denn es waren Programme von Combofix). Anfangs ließ ich sie noch zu, weil ich (im Nachhinein richtig) vermutete, die neuen Anwendungen kämen von Combofix.
4. Dann meldete Defense + aber, dass die Combofix-Anwendungen verschiedene Systemprozesse angreifen würden. Da war ich mir der Combofix-Theorie nicht mehr sicher und verbot einige Zugriffe.
5. Logischerweise konnte Combofix also nicht initialisiert werden. Die Initialisierung wurde immer bei Schritt 29 abgebrochen.
6. Nachdem ich den PC neu gestartet hatte, Combofix erneut installierte und laufen ließ, schaltete ich Defense+ aus.
7. Das Problem wurde aber dadurch nicht behoben. Combofix brach nach 2 Versuchen immer wieder bei Schritt 29 ab.

Fazit: Defense+ ist ein Sch***programm und für Amateure wie mich vollkommen nutzlos und Combofix will nicht.

Vielleicht noch 2 weitere wichtige Hinweise: Ich versuchte nach dem ersten fehlgeschlagenen Versuch, beim Neustart über F8 die letzte bekannte funktionierende Konfiguration aufzurufen, aber der Setup-Bildschirm ließ sich durch F8 nicht öffnen.
Außerdem beendete ich nur alle offenen Fenster, nicht die ständig laufenden Ausführungen in der Taskleiste (Antivir, Comodo etc.). Müssen die auch ausgeschaltet werden?

Der Don 06.12.2007 19:43
So, mir ist Firefox schon wieder abgestürzt, allerdings hat sich diesmal nicht die Maus bewegt, aber alles andere genau wie beim Startproblem.

Außerdem habe ich auf einmal den Ordner C:\qoobox auf dem PC. Ich kenne das Programm nicht und habe dort bisher nix angeklickt. Wie soll ich jetzt damit umgehen? /edit: bzw. falls es sich um eine Quarantänebox von einem der genannten Programme handelt, was mit den dort gespeicherten Ordnern machen?

Franz1968 06.12.2007 22:48
C:\qoobox wird von Combofix angelegt. Was steht denn drin?

Für den Fall, dass sich dort Dateien in der Quarantäne befinden, prüfe sie bei Virustotal.

Gibt es ein Logfile von Combofix?

Der Don 07.12.2007 10:46
@Logfile: Nein, es gibt eben keins. :( Das ist ja mein Hauptproblem.

@Qoobox/Virustotal: Muss ich da alle Dateien einzeln hochladen oder kann man auch ganze Ordner bei Virustotal hochladen?

Franz1968 07.12.2007 11:32
Zitat:
Zitat von Der Don (Beitrag 308770)
@Logfile: Nein, es gibt eben keins. :( Das ist ja mein Hauptproblem.
Keine Datei c:\combofix.txt? :confused:

Zitat:
@Qoobox/Virustotal: Muss ich da alle Dateien einzeln hochladen oder kann man auch ganze Ordner bei Virustotal hochladen?
Ja, alle einzeln, und bitte alle Ergebnisse komplett posten.

Der Don 08.12.2007 15:08
Zitat:
Zitat von Franz1968 (Beitrag 308772)
Keine Datei c:\combofix.txt? :confused:
Doch, aber die ist nicht sehr aufschlussreich:

~

ComboFix 07-12-02.7 - Wozere 2007-12-05 23:25:34.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.250 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

~

Und das wars dann auch schon.

Zitat:
Ja, alle einzeln, und bitte alle Ergebnisse komplett posten.
Hmm, das scheinen 2 komplette Programme zu sein. Ich poste die Ergebnisse dann der Reihe nach.

/edit: die beiden Ordner heißen:

C:\qoobox\BackEnv
C:\qoobox\Hiv-backup

Der Don 08.12.2007 15:09
Datei appdata.folder.dat empfangen 2007.12.08 15:06:05 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 308 bytes
MD5: 2e0535ddf78fe0530e68680fb92e146c
SHA1: 4226263a53f2b73dadd59f88e00fa063cc6c6021
PEiD: -

Der Don 08.12.2007 15:18
Datei cache.folder.dat empfangen 2007.12.08 15:12:09 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 368 bytes
MD5: d4611da92b30981006265d745b31a73c
SHA1: fb40e6f1b4acdb28001f199b52de7336372b49fd
PEiD: -

Der Don 08.12.2007 15:29
Datei desktop.folder.dat empfangen 2007.12.08 15:23:03 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 156 bytes
MD5: f72e7657dc4a3f43d83e5a6f4cf74f84
SHA1: adcc99fe4a099634ebcd12afcbfceb78796d8592
PEiD: -

Der Don 08.12.2007 15:34
Datei favorites.folder.dat empfangen 2007.12.08 15:30:07 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 162 bytes
MD5: 01d4c7afa93862838c2ac55b0a9566c2
SHA1: cc942230e1fe3246f16e731e249401cd083d60cd
PEiD: -

Der Don 08.12.2007 15:37
Datei local_appdata.folder.dat empfangen 2007.12.08 15:34:48 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 332 bytes
MD5: e1615d4c1221242e9ef101d2720acdcf
SHA1: 07c39f2564f15942af712a4054637ea423e9138f
PEiD: -

Der Don 08.12.2007 15:43
Datei local_settings.folder.dat empfangen 2007.12.08 15:38:15 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 333 bytes
MD5: 145e65acffcc3aff798068ab918297ca
SHA1: 284f6b0e8dd3bad5869de315665342778a3fded7
PEiD: -

Der Don 08.12.2007 15:47
Datei my_pictures.folder.dat empfangen 2007.12.08 15:43:32 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 138 bytes
MD5: d56a225cb68016f20d2b6eed727919c9
SHA1: 5dbab85ac1fe0e96c45cbc46706f541cebc21d6d
PEiD: -

Der Don 08.12.2007 15:54
Datei personal.folder.dat empfangen 2007.12.08 15:47:29 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 110 bytes
MD5: 8fcf389410e72703e2018ec1718a7db7
SHA1: af377cd015c13d40a16d0fcda61820702c3c4712
PEiD: -

Der Don 08.12.2007 15:59
Datei profiles.folder.dat empfangen 2007.12.08 15:54:32 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 260 bytes
MD5: e966334f2d16481eb332027d39e55569
SHA1: a2360333ffa5445d537eca065187283118c9f731
PEiD: -

Der Don 08.12.2007 16:04
Datei programs.folder.dat empfangen 2007.12.08 15:59:32 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 393 bytes
MD5: b9e16d7db59aeb9eddf0723cd160ddfa
SHA1: 4c88aae10f430c22273278e025a4327e186e5649
PEiD: -

Der Don 08.12.2007 16:09
Datei setpath.bat empfangen 2007.12.08 16:04:58 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 6269 bytes
MD5: 048e9e624823f31fe9dceda0e89055fe
SHA1: 909a8890e4cb5a86c0ef8a0d92814843356a429c
PEiD: -

Der Don 08.12.2007 16:13
Datei setpath.dat empfangen 2007.12.08 16:09:23 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 2237 bytes
MD5: 2389f7eedaa63065f61a4c6e6fb0d29b
SHA1: 0c85e088de1ea559d64ccb1bfab325da9e29a7b0
PEiD: -

Der Don 08.12.2007 16:19
Datei start_menu.folder.dat empfangen 2007.12.08 16:13:56 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 219 bytes
MD5: d35050111ddaa7d3c217180efc77a8ff
SHA1: 9f37858b605d8a4454031305d7b3f69a0245e9ec
PEiD: -

Der Don 08.12.2007 16:24
Datei startup.folder.dat empfangen 2007.12.08 16:19:57 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 370 bytes
MD5: af10da1a3ec2d61d9d60b0ff28b7e64c
SHA1: eb00bc27dc414050b1bbfb218db2207aabacc3e3
PEiD: -

Der Don 08.12.2007 16:28
Datei templates.folder.dat empfangen 2007.12.08 16:24:24 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 159 bytes
MD5: 627c885ec1a9c89008737c13b844e794
SHA1: a510c0ea1bef9278ee414408fa877a1938eaba73
PEiD: -

Der Don 08.12.2007 16:34
So, das war der Ordner C:\qoobox\BackEnv.

Jetzt kommt der Ordner C:\qoobox\Hiv-backup
Er enthält 6 Unterverzeichnisse mit jeweils 1 Datei:

C:\qoobox\Hiv-backup\Users\00000001\NTUSER.dat
C:\qoobox\Hiv-backup\Users\00000002\UsrClass.dat
C:\qoobox\Hiv-backup\Users\00000003\NTUSER.dat
C:\qoobox\Hiv-backup\Users\00000004\UsrClass.dat
C:\qoobox\Hiv-backup\Users\00000005\NTUSER.dat
C:\qoobox\Hiv-backup\Users\00000006\UsrClass.dat

Diese 6 Dateien werde ich am Ende posten.

~

Datei default empfangen 2007.12.08 16:29:47 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 1437696 bytes
MD5: bc66684703fd824d6f3f2eaf5dac4c77
SHA1: 08e1fb747a56f55f43151f0bc0c74d96f60fd370
PEiD: -

Der Don 08.12.2007 16:36
Oha!

~

Datei ERDNT.EXE empfangen 2007.12.08 16:34:58 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 suspicious Trojan/Worm
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 Win32.ModifiedUPX.gen (suspicious)
weitere Informationen
File size: 163328 bytes
MD5: 89afdd29832aa923926bdd4b5f5243d5
SHA1: 4ee93ef072559c5184236718fe07485bc5ddbe2d
PEiD: -
packers: UPX
packers: UPX
packers: UPX

Der Don 08.12.2007 16:43
Datei ERDNT.INF empfangen 2007.12.08 16:37:08 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 1241 bytes
MD5: 098889b94ff4218d4c49cfeae1855180
SHA1: 829890466cb9f73724e35b28bf7a32e5d04bc9bc
PEiD: -

Der Don 08.12.2007 16:52
Datei ERDNT.CON empfangen 2007.12.08 16:43:52 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 673 bytes
MD5: 2c4d28135fbaa35b430c01486c079bc2
SHA1: d446a2f90e392e9d97016c894f0b4d3a13352c5c
PEiD: -

Der Don 08.12.2007 16:57
Datei ERDNTDOS.LOC empfangen 2007.12.08 16:52:52 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 2815 bytes
MD5: f9650a5c954d2a9f8844de99e8577f93
SHA1: 791a85bf67f5dc3734453808bd3013a866b970ba
PEiD: -

Der Don 08.12.2007 17:02
Datei ERDNTWIN.LOC empfangen 2007.12.08 16:57:38 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 3275 bytes
MD5: 388d865d44ee8069df8bd12efedadb3e
SHA1: e59a20c9c5de1164a16b23014fc3b6a6cf385d14
PEiD: -

Der Don 08.12.2007 17:11
Datei SAM empfangen 2007.12.08 17:03:09 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 24576 bytes
MD5: bd7bc13840e9dca4781fe6cc39fb85e3
SHA1: a834ff226b592f56d71268ae0f87595846496307
PEiD: -

Der Don 08.12.2007 17:18
Datei SECURITY empfangen 2007.12.08 17:11:18 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 40960 bytes
MD5: ded31e65dca793d59a60fabd4e176ac6
SHA1: ee9f1685c9dbf1a860c39ecddf4d587f256dff81
PEiD: -

Der Don 08.12.2007 17:24
Obwohl das ursprünglich ein Doppelpost war, benutze ich ihn mal pragmatisch:

Die Datei: "C:\qoobox\Hiv-backup\software" lässt sich bei VirusTotal nicht hochladen.

Der Don 08.12.2007 17:37
Datei system empfangen 2007.12.08 17:30:52 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 5066752 bytes
MD5: 6296006ac4ed75503f52146083364923
SHA1: 032d1c48d42d25023db197961aec707d0751769e
PEiD: -

Der Don 08.12.2007 17:44
Datei NTUSER.DAT empfangen 2007.12.08 17:38:40 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 1380352 bytes
MD5: 8846dee7081bfde560b7867209d9f7a0
SHA1: 8689813d316c8e71784880232a9d8188caa1c77b
PEiD: -

Der Don 08.12.2007 17:55
Datei UsrClass.dat empfangen 2007.12.08 17:45:33 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 8192 bytes
MD5: dcbc6cbda03015b0f247a94bf44defc5
SHA1: 1cb8a1234e3464e08a5cd1eef2d80ef09c3110cc
PEiD: -

Der Don 08.12.2007 18:04
Datei NTUSER.DAT empfangen 2007.12.08 17:56:18 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 1376256 bytes
MD5: 9e964a493795b75def2d39bd954de3ee
SHA1: e75ebc1df2801a9ff39239610f73e294cca3df21
PEiD: -

Der Don 08.12.2007 18:09
Datei UsrClass.dat empfangen 2007.12.08 18:04:31 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 8192 bytes
MD5: 420e86fa0bfede90708f29b3df8ece7e
SHA1: eb56b552d73bd059b2d8d65dc4b84f966102e729
PEiD: -

Der Don 08.12.2007 18:17
Datei NTUSER.DAT empfangen 2007.12.08 18:11:43 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 5275648 bytes
MD5: dc0ca67258bf2db6c5e6894c180bdef5
SHA1: fd47b9f68ad74adc15e31e5d696b1da8a09bc7e3
PEiD: -

Der Don 08.12.2007 18:25
Datei UsrClass.dat empfangen 2007.12.08 18:17:23 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.07 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.08 -
BitDefender 7.2 2007.12.08 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.08 -
DrWeb 4.44.0.09170 2007.12.08 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.08 -
FileAdvisor 1 2007.12.08 -
Fortinet 3.14.0.0 2007.12.08 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.08 -
Ikarus T3.1.1.12 2007.12.08 -
Kaspersky 7.0.0.125 2007.12.08 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.08 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.08 -
Prevx1 V2 2007.12.08 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.08 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.08 -
TheHacker 6.2.9.153 2007.12.07 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 163840 bytes
MD5: 90499a787dcd28d0c6befe126160d548
SHA1: b5fb9bbed4d6f740360e8987ea627f287311720d
PEiD: -

~

So, das wars. Vielen Dank für deine/eure Geduld. :)

Franz1968 08.12.2007 22:33
Guten Abend. :)
Nach (fast) einer Flasche Westhofener Steingrube bin ich zwar nicht mehr wirklich zurechnungsfähig, versuch's aber trotzdem. :crazy:

Ich kann mir keinen Reim darauf machen, warum Combofix diejenigen Dateien gelöscht hat, die du anschließend bei Virustotal hochgeladen hast. In der ntuser.dat, um ein Beispiel zu nennen, sind der Teile der Registry abgelegt. Was da gelöscht wurde, scheint eine Kopie davon zu sein. Es gibt ein Programm erunt, das offenbar eine Sicherungskopie der kompletten Registry anlegt. Hast du das irgendwann einmal ausgeführt?

Da wir bisher keinen Ansatz finden konnten, führe jetzt bitte eScan aus. Halte dich an die Anleitung in den FAQ, und poste im Anschluss die Ergebnisse der find.bat.

Zuvor lade dir aber bitte den cCleaner, installiere ihn (ohne die angebotene Toolbar) und lasse alles löschen, was er vorschlägt, damit temporäre Dateien u. Ä. nicht den Blick verstellen.

Danach - nach dem cCleaner und eScan - lade filelist.zip, entpacke es und starte die filelist.bat. Der Editor wird sich öffnen und den Inhalt mehrerer Verzeichnisse auflisten. Markiere aus jedem der folgenden Verzeichnisse:

Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

jeweils die Dateien der letzten 30 Tage und kopiere sie hierher.

KarlKarl 09.12.2007 04:40
Mal die Combofix.exe von Hand entpacken, ist ein selbstentpackendes Archiv, das sich mit Winrar u.ä. auch manuell entpacken lässt. Erunt steckt da mit drinnen. Die EXE-Dateien allerdings in *.cfexe umbenannt, soll ja niemand anderes was mit anfangen können. all diese Daqteien, mit denen Virustotal geqält wurde, sind ja auch keine Dateien, die Combofix gelöscht hat, sondern Dateien, von denen er eine Sicherung angelegt hat.

Teil doch mal mit, welche Firefox-Version Du hast und welchen MD5-Wert die firefox.exe hat. Dann könnte jemand mit der gleichen Version mal vergleichen. Ebenso für andere Anwendungen, über die sich dieses Comodo Defense+ beschwert. Gab es eventuell in der Zwishcenzeit mal Programmupdates?

da Du unterdessen zu der Überzeugung "Defense+ ist ein Sch***programm und für Amateure wie mich vollkommen nutzlos" gelangt bist (Beitrag #17) ist es doch eine gute Idee, das zu deinstallieren und mal zu sehen, ob die Probleme weiterbestehen.

Der Don 09.12.2007 12:28
@Karl: Hab bereits alles mit Defense + ausgeschaltet probiert.

Soll ich jetzt erst den eScan machen oder lieber noch einmal Combofix durchführen? Wenn Letzteres: Müssen für Combofix wirklich ALLE Programme ausgeschaltet sein, d.h. auch die permanent laufenden Prozesse in der Taskleiste?

Der Don 09.12.2007 23:14
Ach so: Der Firefox ist Version 2.0.0.11, MD5 keine Ahnung.

Wegen den Programmen von Defense+ ist ansonsten alles in Ordnung, da hab ich einen Überblick. Nur damals mit dem Combofix habe ich den verloren.

Der Don 10.12.2007 01:42
Das sagt der eScan:

~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.9
Sprache: German
Virus-Datenbank Datum: 12/10/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "softomate toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "softomate toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "softomate toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with precisionpop Spyware/Adware (starter.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker (C:\Programme\ares\ares.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{EF6549B7-AA46-477F-B6B7-7CE5D758310F}\RP173\A0058525.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Program Files\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.614. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{EF6549B7-AA46-477F-B6B7-7CE5D758310F}\RP161\A0051133.exe//data0001.cab/Save.exe markiert als "not-a-virus:AdWare.Win32.SaveNow.bc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{EF6549B7-AA46-477F-B6B7-7CE5D758310F}\RP161\A0051134.dll markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{EF6549B7-AA46-477F-B6B7-7CE5D758310F}\RP161\A0051135.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\uobeta0.87\starter\starter.exe
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\Programme\ares\ares.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\anwendungsdaten\winamp toolbar\ietoolbar
Offending Folder found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\winamp toolbar\ietoolbar
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\winamp toolbar\ietoolbar
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 131721
Gefundene Viren: 38
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 42
Dauer des Scans bisher: 02:01:42
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 1:38:25.37
Batchende: 1:38:42.56

Der Don 10.12.2007 01:57
... und das die Filelist:

Verzeichnis von C:\

2007-12-10 01:44 43 filelist.txt
2007-12-10 01:38 0 23990098.$$$
2007-12-09 23:30 805,306,368 pagefile.sys
2007-11-23 02:04 212 boot.ini
2007-11-23 01:54 211 boot.ini.comodofirewall
2007-11-23 01:48 47,564 NTDETECT.COM
2007-11-23 01:48 251,184 ntldr


Verzeichnis von C:\WINDOWS

2007-12-09 23:35 50 Lic.xxx
2007-12-09 23:31 2,048 bootstat.dat
2007-12-01 05:19 7,680 Thumbs.db
2007-11-29 14:43 54,156 QTFont.qfn
2007-11-27 03:58 140,288 catchme.exe
2007-11-23 02:00 316,640 WMSysPr9.prx
2007-11-23 01:54 615 win.ini


Verzeichnis von C:\WINDOWS\system32

2007-12-09 23:05 138,848 FNTCACHE.DAT
2007-11-30 14:52 2,206 wpa.dbl
2007-11-24 16:30 311,604 perfh009.dat
2007-11-24 16:30 39,992 perfc009.dat
2007-11-24 16:30 316,594 perfh007.dat
2007-11-24 16:30 48,156 perfc007.dat
2007-11-24 16:30 723,744 PerfStringBackup.INI
2007-11-24 05:27 5,686 jupdate-1.6.0_03-b05.log
2007-11-23 17:20 139,008 guard32.dll
2007-11-23 15:22 129,082 TZLog.log
2007-11-23 02:00 0 rundll32.exe.Z-missing.txt
2007-11-23 01:59 251 spupdwxp.log
2007-11-22 12:26 3,279 SpoonUninstall-dBpoweramp Musepack Codec.dat
2007-11-22 12:25 33,846 SpoonUninstall-dBpoweramp Musepack Codec.bmp
2007-11-22 12:25 593,272 SpoonUninstall.exe
2007-11-22 12:24 13,011 SpoonUninstall-dBpoweramp Music Converter.dat
2007-11-22 12:24 33,846 SpoonUninstall-dBpoweramp Music Converter.bmp


Verzeichnis von C:\WINDOWS\Prefetch

2007-12-09 23:29 49,642 LOGONUI.EXE-0AF22957.pf
2007-12-09 23:29 18,544 VERCLSID.EXE-3667BD89.pf
2007-12-09 23:29 14,966 GETPOPUPINFO.EXE-0D9AB107.pf
2007-12-09 23:26 94,482 FIREFOX.EXE-1D57670A.pf
2007-12-09 23:26 18,314 TASKMGR.EXE-20256C55.pf
2007-12-09 23:23 16,314 CCLEANER.EXE-065E2F3F.pf
2007-12-09 23:23 91,838 NOTEPAD.EXE-336351A9.pf
2007-12-09 23:18 9,512 SWSC.CFEXE-3B4FE4FE.pf
2007-12-09 23:18 12,110 SORT.EXE-194AE83C.pf
2007-12-09 23:18 14,610 CMD.EXE-087B4001.pf
2007-12-09 23:18 12,562 FIND.EXE-0EC32F1E.pf
2007-12-09 23:18 2,890 VFIND.EXE-0CB9A64E.pf
2007-12-09 23:18 9,904 NIRCMD.EXE-2C39EF53.pf
2007-12-09 23:17 28,568 CSCRIPT.EXE-1C26180C.pf
2007-12-09 23:17 12,800 ATTRIB.EXE-39EAFB02.pf
2007-12-09 23:17 11,738 CATCHME.CFEXE-0F2A0789.pf
2007-12-09 23:17 109,564 WMIPRVSE.EXE-28F301A9.pf
2007-12-09 23:17 4,552 HANDLE.CFEXE-13427ED2.pf
2007-12-09 23:16 4,180 SF.CFEXE-164B3B2D.pf
2007-12-09 23:16 8,404 DUMPHIVE.CFEXE-2ED3B134.pf
2007-12-09 23:16 20,682 SETPATH.CFEXE-034E3D26.pf
2007-12-09 23:16 13,356 ROUTE.EXE-371D32DE.pf
2007-12-09 23:16 3,044 VFIND.CFEXE-2033727F.pf
2007-12-09 23:16 10,866 SWREG.EXE-3688D00C.pf
2007-12-09 23:16 13,790 REGT.CFEXE-15DB5DAE.pf
2007-12-09 23:16 15,316 FINDSTR.EXE-0CA6274B.pf
2007-12-09 23:16 5,732 MTEE.CFEXE-1E067BC7.pf
2007-12-09 23:16 6,478 CHCP.COM-18156052.pf
2007-12-09 23:16 40,552 SWREG.CFEXE-2BF4FFCD.pf
2007-12-09 23:16 4,634 SED.CFEXE-268D7E58.pf
2007-12-09 23:16 10,534 NIRCMD.CFEXE-19FF4781.pf
2007-12-09 23:16 4,060 GREP.CFEXE-20443039.pf
2007-12-09 23:16 7,438 SWXCACLS.CFEXE-365F7973.pf
2007-12-09 23:16 9,912 NIRCMD.EXE-1F7FED22.pf
2007-12-09 23:16 21,092 COMBOFIX.EXE-341E0761.pf
2007-12-09 23:15 70,538 WINRAR.EXE-3588DFE8.pf
2007-12-09 23:07 154,048 WUAUCLT.EXE-399A8E72.pf
2007-12-09 23:07 1,199,932 NTOSBOOT-B00DFAAD.pf
2007-12-09 15:17 74,632 GRAVYTRIS.EXE-1E48D2C4.pf
2007-12-09 14:34 74,336 UPDATE.EXE-13D57D76.pf
2007-12-09 14:34 15,568 PREUPD.EXE-358AA1C1.pf
2007-12-09 14:33 48,744 ACRORD32INFO.EXE-30CEC19C.pf
2007-12-09 14:32 97,196 ACRORD32.EXE-0EC716D9.pf
2007-12-09 14:22 111,856 WINWORD.EXE-3395695A.pf
2007-12-09 12:14 54,046 AVGNT.EXE-36CA4640.pf
2007-12-09 12:14 151,940 AVNOTIFY.EXE-22AE9451.pf
2007-12-09 12:13 60,168 AVCENTER.EXE-37584419.pf
2007-12-09 12:11 318,328 CFPUPDAT.EXE-0617C26B.pf
2007-12-09 12:05 54,094 AVSCAN.EXE-05AECC0E.pf
2007-12-08 22:42 12,026 CCSETUP203.EXE-27BA4AEE.pf
2007-12-08 21:12 96,274 WINAMP.EXE-08C38ED9.pf
2007-12-08 21:11 13,138 RUNDLL32.EXE-451FC2C0.pf
2007-12-08 14:38 22,216 RUNDLL32.EXE-311943EE.pf
2007-12-08 14:38 16,866 ALG.EXE-0F138680.pf
2007-12-08 14:38 59,842 IMAPI.EXE-0BF740A4.pf
2007-12-08 14:38 4,024 SLSERV.EXE-1E8DF9A3.pf
2007-12-08 14:38 7,390 WDFMGR.EXE-2CF4013B.pf
2007-12-08 14:38 51,442 CMDAGENT.EXE-1C38C399.pf
2007-12-08 14:38 29,694 SCHED.EXE-236A886F.pf
2007-12-08 14:38 49,514 AVGUARD.EXE-3490B18B.pf
2007-12-06 22:42 22,716 DEFRAG.EXE-273F131E.pf
2007-12-06 22:42 90,576 DFRGNTFS.EXE-269967DF.pf
2007-12-06 22:40 991,846 Layout.ini
2007-12-06 22:06 24,064 REGSVR32.EXE-25EEFE2F.pf
2007-12-06 19:27 76,134 SKYPEPM.EXE-03F1BFBD.pf
2007-12-06 19:22 80,668 DUMPREP.EXE-1B46F901.pf
2007-12-03 11:29 78,002 WINMINE.EXE-0A3838A4.pf


Verzeichnis von C:\WINDOWS\tasks

2007-12-09 23:30 6 SA.DAT
2007-09-24 05:45 276 AppleSoftwareUpdate.job

Verzeichnis von C:\WINDOWS\Temp

-

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

2007-12-10 01:42 549 filelist.zip
2007-12-10 01:38 14,280,830 MWAV.LOG
2007-12-10 01:38 505,440 sfdb.dat
2007-12-10 01:36 1,470,375 MWAVC.LOG
2007-12-09 23:35 0 success.sem
2007-12-09 23:35 2,252 Download.log
2007-12-09 23:35 91 IUpdate.ini
2007-12-09 23:35 477 EUpdate.ini
2007-12-09 23:35 3,663 update.txt
2007-12-09 23:35 49,154 unp027.avc
2007-12-09 23:35 67,390 unp002.avc
2007-12-09 23:35 46,576 unp001.avc
2007-12-09 23:35 162,714 Spyware.sdb
2007-12-09 23:35 1,281,783 Cid.sdb
2007-12-09 23:35 1,428,833 File2.sdb
2007-12-09 23:35 263,834 spydb.old
2007-12-09 23:35 263,834 spydb.avs
2007-12-09 23:35 2,099,197 File1.sdb
2007-12-09 23:35 774,370 Dir.sdb
2007-12-09 23:35 822 remove.ini
2007-12-09 23:35 92,793 phupdn.txz
2007-12-09 23:35 227 httpsite.txt
2007-12-09 23:35 111 ftpsites.txt
2007-12-09 23:35 20,285 fa001.avc
2007-12-09 23:35 37,558 fa.avc
2007-12-09 23:35 38,784 ext009.avc
2007-12-09 23:35 46,150 ext006c.avc
2007-12-09 23:35 4,626 dailyc.avc
2007-12-09 23:35 47,202 daily.avc
2007-12-09 23:35 262 daily-ex.avc
2007-12-09 23:35 262 daily-ex.avx
2007-12-09 23:35 664 daily-ec.avc
2007-12-09 23:35 38,441 base160.avc
2007-12-09 23:35 49,389 base089.avc
2007-12-09 23:35 50,143 base070c.avc
2007-12-09 23:35 55,041 base069c.avc
2007-12-09 23:35 4,179 avp.set
2007-12-09 23:35 4,179 avp_x.set
2007-12-09 23:35 4,179 avp_ext.set
2007-12-09 23:34 29,930 avp.klb
2007-12-09 23:34 1,047 00184597.key
2007-12-09 23:34 1,016 00184596.key
2007-12-09 23:34 6,337 filelist.lst
2007-12-09 23:33 626,688 msvcr80.dll
2007-12-09 23:33 548,864 msvcp80.dll
2007-12-09 23:33 1,940 recycler.reg
2007-12-09 23:33 7,168 erootdrv.sys
2007-12-09 23:33 241,664 MYDB.DLL
2007-12-09 23:11 93,390 jusched.log
2007-12-09 12:32 3,069,096 iivtsv11.zip
2007-12-09 12:11 0 cfpinfo.ini
2007-12-08 23:47 10,112 java_install_reg.log
2007-12-06 22:04 274 5.tmp
2007-12-06 22:02 274 2.tmp
2007-12-06 19:21 16,384 ~DF7EDC.tmp
2007-12-05 12:28 36,361 unp039.avc
2007-12-05 12:28 33,328 unp031.avc
2007-12-05 12:28 56,172 base144.avc
2007-12-05 12:28 55,475 base068c.avc
2007-12-05 12:28 40,885 krn004.avc
2007-12-05 07:26 324,455 phupdn.txt
2007-12-05 07:10 18,427 global.daz
2007-12-04 18:43 174,080 esupdate.exe
2007-12-04 18:42 62,976 reload.exe
2007-12-04 18:04 39,936 unregx.exe
2007-12-04 18:04 44,032 setpriv.exe
2007-12-04 18:02 469,056 mexe.com
2007-12-04 18:02 469,056 MWAVSCAN.COM
2007-12-04 17:57 188,416 download.exe
2007-12-04 17:47 430,080 MWAVReg.EXE
2007-12-04 15:54 1,974,272 msvl64.dll
2007-12-04 15:41 155,648 msvlclnt.dll
2007-12-04 15:32 48,704 Getvlist.exe
2007-12-04 11:11 38,186 unp032.avc
2007-12-04 11:11 30,637 unp028.avc
2007-12-04 11:11 61,954 unp019.avc
2007-12-04 11:11 60,834 unp013.avc
2007-12-04 11:11 49,527 base158.avc
2007-12-04 11:11 49,774 base156.avc
2007-12-04 11:11 49,907 base134.avc
2007-12-04 11:11 49,770 base145.avc
2007-12-04 11:11 49,262 base084.avc
2007-12-04 11:11 48,265 base015.avc
2007-12-04 11:11 51,448 base002c.avc
2007-12-04 11:11 50,057 base062c.avc
2007-12-03 18:54 527,232 NG.exe
2007-12-03 17:22 798,234 IMT13.xml
2007-12-03 17:22 426 IMT12.xml
2007-12-03 17:22 2,036 IMT11.xml
2007-12-03 03:04 512 ~DF595D.tmp
2007-12-03 03:04 512 ~DF592E.tmp
2007-12-03 03:01 512 ~DFA39C.tmp
2007-12-03 02:59 512 ~DF55E2.tmp
2007-12-03 02:59 512 ~DF3707.tmp
2007-12-03 02:58 512 ~DFF1A6.tmp
2007-12-03 02:57 512 ~DFCCA7.tmp
2007-12-03 02:51 512 ~DF74D6.tmp
2007-12-03 02:48 512 ~DF6C1C.tmp
2007-12-03 02:36 512 ~DF9C11.tmp
2007-12-03 02:33 512 ~DF2BB4.tmp
2007-12-03 02:11 512 ~DF6C95.tmp
2007-12-03 02:05 512 ~DF13B0.tmp
2007-12-03 01:37 512 ~DFA116.tmp
2007-12-03 00:53 512 ~DFDF2D.tmp
2007-12-03 00:52 512 ~DF9BD9.tmp
2007-12-03 00:49 512 ~DF38A1.tmp
2007-12-02 23:53 512 ~DF9769.tmp
2007-12-02 23:48 512 ~DFB282.tmp
2007-12-02 23:35 457,752 ~WRS0000.tmp
2007-12-02 23:28 512 ~DFD9E.tmp
2007-12-01 11:38 46,675 unp033.avc
2007-12-01 11:38 49,921 base152.avc
2007-12-01 11:38 50,475 base157.avc
2007-12-01 11:38 55,174 base067c.avc
2007-12-01 03:28 34 mod25.tmp
2007-11-30 14:53 16,384 ~DF50BB.tmp
2007-11-30 14:52 16,384 ~DFDC87.tmp
2007-11-30 12:01 51,759 Czech.Age
2007-11-30 12:01 50,946 Tamil.age
2007-11-30 12:01 91,771 Chinese.Age
2007-11-30 12:01 110,675 Icelandic.Age
2007-11-30 12:01 115,585 Polish.Age
2007-11-30 12:01 112,443 Finnish.Age
2007-11-30 12:01 116,740 French.Age
2007-11-30 12:01 115,630 Spanish.Age
2007-11-30 12:01 116,354 Spanishl.Age
2007-11-30 12:01 111,385 Romanian.Age
2007-11-30 12:01 123,926 Portuguese.Age
2007-11-30 12:00 122,996 Italian.Age
2007-11-30 11:39 48,820 unp037.avc
2007-11-30 11:39 54,085 base159.avc
2007-11-30 11:39 49,505 base026.avc
2007-11-30 11:39 48,875 base011.avc
2007-11-29 20:39 46,316 unp036.avc
2007-11-29 20:39 48,859 unp034.avc
2007-11-29 20:39 50,611 base148.avc
2007-11-28 22:36 12,818 control.xml
2007-11-28 21:47 16,384 ~DF4369.tmp
2007-11-28 21:47 16,384 ~DF2F5B.tmp
2007-11-28 11:52 48,062 unp038.avc
2007-11-28 11:52 55,081 base066c.avc
2007-11-28 11:52 104,631 krn005.avc
2007-11-27 19:55 99 D653F3EC.TMP
2007-11-27 14:57 37,875 unp020.avc
2007-11-27 14:57 49,679 base020.avc
2007-11-27 14:57 50,163 base063c.avc
2007-11-27 14:57 50,081 base035c.avc
2007-11-27 14:50 1,406 esupd.ini
2007-11-27 14:43 16,384 ~DF64BE.tmp
2007-11-27 14:43 16,384 ~DF5261.tmp
2007-11-27 13:42 49,027 language.ini
2007-11-27 13:42 49,027 German.Age
2007-11-26 21:50 78 mwavclp.txt
2007-11-26 21:50 78 mwavrar.txt
2007-11-26 21:50 120,383 krnunp.avc
2007-11-26 15:57 281,201 spydb.avs_
2007-11-26 00:12 16,384 ~DFA661.tmp
2007-11-26 00:12 16,384 ~DF7DE8.tmp
2007-11-25 02:29 16,384 ~DF224C.tmp
2007-11-25 02:29 16,384 ~DFC5A9.tmp
2007-11-24 16:26 16,384 ~DF6093.tmp
2007-11-24 16:26 16,384 ~DF9EA.tmp
2007-11-24 13:55 64,838 unp016.avc
2007-11-24 13:55 51,077 base146.avc
2007-11-24 13:55 49,843 base155.avc
2007-11-24 05:24 1,302 jinstall.cfg
2007-11-24 05:18 16,384 ~DFABA.tmp
2007-11-24 05:18 16,384 ~DFF469.tmp
2007-11-23 20:53 383,140 WT26.tmp
2007-11-23 20:52 367,112 WT25.tmp
2007-11-23 20:51 383,140 WT23.tmp
2007-11-23 20:51 367,112 WT22.tmp
2007-11-23 18:50 50,198 base154.avc
2007-11-23 18:50 49,655 base153.avc
2007-11-23 18:50 50,278 base127.avc
2007-11-23 18:50 50,010 base065c.avc
2007-11-23 18:50 50,233 base064c.avc
2007-11-23 17:24 16,384 ~DF9E12.tmp
2007-11-23 17:24 512 ~DF403A.tmp
2007-11-23 17:24 16,384 ~DF401D.tmp
2007-11-23 17:15 98,304 ~DF3E53.tmp
2007-11-23 15:37 16,384 ~DFC24A.tmp
2007-11-23 15:37 16,384 ~DFADB2.tmp
2007-11-23 15:36 131,072 ~DF7474.tmp
2007-11-23 15:18 16,384 ~DF1741.tmp
2007-11-23 15:18 16,384 ~DF5F0.tmp
2007-11-23 15:12 131,072 ~DFBBC3.tmp
2007-11-23 14:52 193 News.txt
2007-11-23 14:51 16,384 ~DF212A.tmp
2007-11-23 14:51 16,384 ~DF1583.tmp
2007-11-23 14:50 131,072 ~DF80E5.tmp
2007-11-23 14:39 16,384 ~DFB49B.tmp
2007-11-23 14:39 16,384 ~DF5DC3.tmp
2007-11-23 12:14 812,344 ink4wmcu.exe
2007-11-23 11:34 16,384 ~DFA85B.tmp
2007-11-23 11:33 16,384 ~DF3D7C.tmp
2007-11-23 02:27 16,384 ~DF22B8.tmp
2007-11-23 02:27 16,384 ~DF1432.tmp
2007-11-23 02:27 131,072 ~DFF0D7.tmp
2007-11-23 02:07 16,384 ~DF9506.tmp
2007-11-23 02:07 16,384 ~DF708D.tmp
2007-11-23 02:06 131,072 ~DFA965.tmp
2007-11-23 02:01 16,384 ~DF58B0.tmp
2007-11-23 02:01 16,384 ~DF3780.tmp
2007-11-23 01:40 16,888,557 1bdlgk8d.exe
2007-11-23 01:39 16,384 ~DFBA98.tmp
2007-11-23 01:38 16,384 ~DF98E8.tmp
2007-11-23 01:32 16,384 ~DFD08E.tmp
2007-11-23 01:32 16,384 ~DFBCAB.tmp
2007-11-23 01:32 131,072 ~DF3D00.tmp
2007-11-22 13:40 16,384 ~DFE0FD.tmp
2007-11-22 13:40 16,384 ~DFD2D0.tmp
2007-11-22 13:40 131,072 ~DFA49C.tmp
2007-11-22 12:06 16,384 ~DFFDE9.tmp
2007-11-22 12:06 16,384 ~DFB50B.tmp
2007-11-22 12:06 131,072 ~DF752C.tmp
2007-11-21 23:08 5,515 Czech.dow
2007-11-21 23:08 5,437 Tamil.dow
2007-11-21 23:08 4,474 Chinese.dow
2007-11-21 23:07 5,575 Icelandic.dow
2007-11-21 23:07 5,844 Finnish.dow
2007-11-21 23:07 6,476 Polish.dow
2007-11-21 23:07 6,354 French.dow
2007-11-21 23:07 6,006 Spanish.dow
2007-11-21 23:07 6,373 Spanishl.dow
2007-11-21 23:07 5,908 Romanian.dow
2007-11-21 23:07 6,297 Portuguese.dow
2007-11-21 23:07 5,930 Italian.dow
2007-11-21 23:07 6,061 German.dow
2007-11-21 23:07 6,061 Download.lan
2007-11-21 22:46 49,291 base025.avc
2007-11-21 22:46 50,515 ext005c.avc
2007-11-21 22:46 50,135 base061c.avc
2007-11-21 19:10 16,384 ~DFD646.tmp
2007-11-21 19:10 16,384 ~DFBA4E.tmp
2007-11-21 19:10 131,072 ~DF2CE0.tmp
2007-11-21 14:08 14,400 faristream.ppl
2007-11-21 14:08 14,912 farbuffer.ppl
2007-11-21 14:07 139,264 ScanningProcess.exe
2007-11-21 14:07 65,536 ikave.dll
2007-11-21 14:06 282,624 kave.dll
2007-11-21 13:42 5,539 English.dow
2007-11-21 11:41 16,384 ~DF56D3.tmp
2007-11-21 11:41 16,384 ~DF4F22.tmp
2007-11-21 11:41 131,072 ~DF2936.tmp
2007-11-21 00:17 16,384 ~DF4474.tmp
2007-11-21 00:17 16,384 ~DFC66B.tmp
2007-11-21 00:17 131,072 ~DFE3E4.tmp
2007-11-20 19:52 16,384 ~DF1BC9.tmp
2007-11-20 19:52 16,384 ~DFCAC8.tmp
2007-11-20 19:51 131,072 ~DFBAB8.tmp
2007-11-20 19:37 35,840 WDiskIO.ppl
2007-11-20 15:59 52,107 English.Age
2007-11-20 10:45 49,144 base030.avc
2007-11-20 00:48 16,384 ~DFE445.tmp
2007-11-20 00:48 16,384 ~DFCA3E.tmp
2007-11-20 00:48 131,072 ~DF3F56.tmp
2007-11-19 19:37 13,670 French.con
2007-11-19 13:04 41,175 unp022.avc
2007-11-19 13:04 57,842 unp015.avc
2007-11-19 13:04 56,293 unp014.avc
2007-11-19 13:04 49,913 base129.avc
2007-11-19 13:04 47,772 base003.avc
2007-11-19 13:04 50,682 base005c.avc
2007-11-19 13:04 50,561 base013c.avc
2007-11-19 11:24 16,384 ~DFCF20.tmp
2007-11-19 11:24 16,384 ~DFB2A0.tmp
2007-11-19 11:24 131,072 ~DFEAF1.tmp
2007-11-18 22:10 16,384 ~DFC1E.tmp
2007-11-18 22:10 16,384 ~DFC1F7.tmp
2007-11-18 12:32 16,384 ~DF2DF.tmp
2007-11-18 12:32 16,384 ~DFBDAB.tmp
2007-11-18 12:32 131,072 ~DF3EA6.tmp
2007-11-18 01:11 59,964 Adobelm_Cleanup.0001
2007-11-18 01:11 697 TWAIN.LOG
2007-11-18 01:11 156 Twunk001.MTX
2007-11-18 01:11 4 Twain001.Mtx
2007-11-18 01:10 68,709 3eacqsd3.psd
2007-11-17 21:05 131,072 ~DF9230.tmp
2007-11-17 16:51 11,731 Czech.con
2007-11-17 16:51 11,444 Tamil.con
2007-11-17 16:51 9,295 Chinese.con
2007-11-17 16:51 12,420 Icelandic.con
2007-11-17 16:51 12,293 Finnish.con
2007-11-17 16:51 13,471 Polish.con
2007-11-17 16:51 12,609 Spanish.con
2007-11-17 16:51 13,091 Spanishl.con
2007-11-17 16:50 12,259 Romanian.con
2007-11-17 16:50 13,277 Portuguese.con
2007-11-17 16:50 12,298 Italian.con
2007-11-17 16:50 15,837 config.lan
2007-11-17 16:50 15,837 German.con
2007-11-17 14:30 49,841 base083.avc
2007-11-17 13:46 50,501 base065.avc
2007-11-17 11:29 49,568 base130.avc
2007-11-16 22:47 16,384 ~DF39D2.tmp
2007-11-16 22:47 16,384 ~DF3998.tmp
2007-11-16 22:47 16,384 ~DF39B5.tmp
2007-11-16 22:47 16,384 ~DF397B.tmp
2007-11-16 17:34 11,769 English.con
2007-11-16 16:47 49,801 base042.avc
2007-11-16 14:57 16,384 ~DFC452.tmp
2007-11-16 14:57 16,384 ~DF906F.tmp
2007-11-16 14:57 131,072 ~DF3019.tmp
2007-11-16 12:05 41,038 base092.avc
2007-11-15 14:23 131,072 ~DF7150.tmp
2007-11-14 18:43 9,598 german.lan
2007-11-14 17:21 11,721 English.lan
2007-11-14 07:38 131,072 ~DF31B6.tmp
2007-11-13 17:03 156,854 krnmacro.avc
2007-11-13 15:14 131,072 ~DF2C0B.tmp
2007-11-13 11:46 49,951 base094.avc
2007-11-13 11:46 51,053 base029.avc
2007-11-12 11:50 50,107 base037c.avc
2007-11-12 11:50 48,011 base038c.avc
2007-11-12 11:50 50,166 base036c.avc
2007-11-12 11:50 50,768 base034c.avc
2007-11-12 11:03 16,384 ~DF1895.tmp
2007-11-12 11:03 16,384 ~DFC83E.tmp
2007-11-12 02:56 16,384 ~DFFEC5.tmp
2007-11-12 02:56 16,384 ~DFB3B3.tmp
2007-11-12 02:55 131,072 ~DF1AF3.tmp
2007-11-11 13:53 16,384 ~DFF2C5.tmp
2007-11-11 13:53 16,384 ~DFB4C4.tmp
2007-11-10 16:04 16,384 ~DF114.tmp
2007-11-10 16:04 16,384 ~DFB835.tmp
2007-11-10 16:04 131,072 ~DFB700.tmp
2007-11-10 13:39 16,384 ~DFD38F.tmp
2007-11-10 13:39 16,384 ~DFC069.tmp
2007-11-10 13:39 131,072 ~DF22CA.tmp
2007-11-10 02:05 331,448 jar_cache46260.tmp
2007-11-09 15:18 16,384 ~DF530.tmp
2007-11-09 15:18 16,384 ~DF9B90.tmp
2007-11-09 15:17 131,072 ~DF2543.tmp

Franz1968 10.12.2007 19:44
Zitat:
Ach so: Der Firefox ist Version 2.0.0.11, MD5 keine Ahnung.
MD5 und SHA1 erhältst du, indem du deine firefox.exe bei Virustotal überprüfst. Am Schluss der Auswertung werden die genannten Werte ausgegeben.

Der Don 10.12.2007 21:59
Dann die MD5 vom Firefox: 15637c95a67a2c09b3cc5004be595cca

/edit: Und den Combofix krieg ich immer noch ned zum laufen. :(

Der Don 12.12.2007 01:18
Hallo?

Hat irgendwer eine Idee?

(bzw. wenn auch keine: Bitte sagt mir einfach Bescheid) ;)

Der Don 13.12.2007 02:08
Ich frag einfach nochmal...

Der Don 14.12.2007 16:57
So, bin jetzt eine Woche weg, vielleicht findet ja jemand was...


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19