Trojaner-Board - Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden (https://www.trojaner-board.de/40972-trojaner-quarantaene-schaedliches-programm-hijackthis-gefunden.html)

Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden

Hallo

Bei der automatischen Auswertung vom Hijackthisfile wurden zwei Schädlichkeitsmeldungen ausgegeben. Erkannt wurde eine sog. "Fuzzy Algorithmusprüfung". Am besten schaut ihr (Experten :-) ) euch mal den Logfile an:

Scan saved at 01:59:25, on 15.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GNU\GnuPG\WinPT.exe
C:\Programme\PowerMenu\PowerMenu.exe
C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinPT - Schlüsselmanager] C:\Programme\GNU\GnuPG\WinPT.exe
O4 - HKCU\..\Run: [Power Menu - transparency & systemtray] C:\Programme\PowerMenu\PowerMenu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScConfig2500USB.lnk = C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 5960 bytes

Wie soll ich nun verfahren? Außerdem habe ich bei eine AntiVir-Meldung bekommen; daraufhin habe ich die beiden Dateien in Quarantäne verschoben, weil sie vom Heuristik-Verfahren aufgespürt wurden. Bei der ersten Datei steht als Meldung "Enthält verdächtigen Code: HEUR/Exploit.HTML", sie befindet sich unter c:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\...\E5BE6C6Fd01

bei der zweiten steht "Ist das Trojanische Pferd TR/Crypt.XPACK.Gen", sie befindet sich in c:\DOKUME~1\Name\Lokale~1\Temp\fdzkro63.pif. Natürlich habe ich die Dateien nicht ausführen lassen von AntiVir. Auch hier meine Frage: wie soll ich mich verhalten?

Noch als Anmerkung: Ich habe einige Stunden zuvor schon diese Meldung bekommen, dass das System von NT-Autorität heruntergefahren wird. Mit "schutdown -a" habe ich das gestoppt und habe einen Neustart gemacht. Danach tauchte die Meldung nicht mehr auf. Auch befand sich keine verdächtige Datei im Windows-Ordner, die auf Sasser oder Blaster schließen lässt. Der Virenscan zeigte keine weiteren Dateien an.

Über eine Antwort würde ich mich sehr freuen. Vielen Dank!
Euli

Hallo Euli,

aus dem log werde ich ehrlich gesagt nicht so recht schlau.

Zitat:

F3 - REG:win.ini: run=

gefällt mir nicht. Gib bitte unter Start-Ausführen "sysedit" ein poste den Inhalt der win.ini.

Zitat:

O4 - HKLM\..\Run: [ScanRegistry] C:\W

Der Pfad ist unvollständig. Durchsuche deinen Rechner nach "scanregw.exe'. Poste bitte Pfad und Größe der Datei. Nutzt du Winzip?

Zitat:

Außerdem habe ich bei eine AntiVir-Meldung bekommen; daraufhin habe ich die beiden Dateien in Quarantäne verschoben

:daumenhoc Können durchaus false-positives sein. Lade mal beide Dateien aus der Quarantäne bei virustotal.com hoch und poste die Ergebnisse inkl. Dateigröße und HASH.

Vermutlich habe ich Tomaten auf den Augen, aber ich finde nix Vernünftiges bei Google unter "NMSAccessU". :confused: Da es nicht viel Mühe macht, lade bitte auch "C:\Programme\Gemeinsame Dateien\NMSAccessU.exe" bei virustotal.com hoch.

Poste auch ein log von silentrunners. Da sieht man etwas mehr als bei HJT. Gruß

Hi ordell1234!

Danke für deine schnelle Antwort.
Inhalt der WIN.INI:
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=mapi32.dll
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
[TRANTOR_SETUP_PROGRAM_LOADED_TEMPORARY_INFO]
INSTANCE=5270
TASK=4183
[Windows Hilfe]
H_WindowPosition=[341,256,341,256,0]
[Indigo Rose]
C:\WINDOWS\iun3405.exe=1
[MSUCE]
Advanced=0
CodePage=Unicode
Font=Arial
[SciCalc]
layout=1
[CorelGraphics4]
Dir=C:\COREL40\CONFIG
[AAPLAY Animation]
WaveAudio=c,522
Sequencer=x,523
FullScreen=AAVGA.DLL
DualScreen=no

Ich nutze kein Winzip, aber dafür IZArc. „scanregw.exe“ konnte bei der Suche (auch versteckte und Systemelemente durchsucht) nicht gefunden werden. Aber ich könnte mir auch gut vorstellen, dass du mit der Vermutung, es handele sich um ein false-positive, Recht hast. Immerhin habe ich bei AntiVir alle Heuristiken aktiviert und auf hoher Erkennungsstufe gestellt. Allerdings ist das, wenn es wirklich ein false-positive ist, der erste Fehlalarm von AntiVir. Aber lieber ein Alarm zu viel als zu wenig ;-).
Ergebnisse von virustotal.com:
1)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.14 no virus found
BitDefender 7.2 2007.07.15 no virus found
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 no virus found
Kaspersky 4.0.2.24 2007.07.15 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.14 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.14 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 no virus found
Aditional information
File size: 21945 bytes
MD5: 04e3985e9e1d400ae01d9b37dd84cc0e
SHA1: d92ca716ed3290809397ec8ad2a82288f60fedb8

2)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.14 no virus found
BitDefender 7.2 2007.07.15 no virus found
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 no virus found
Kaspersky 4.0.2.24 2007.07.15 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.14 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.14 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 no virus found
Aditional information
File size: 103292 bytes
MD5: bc5c020a31a41cdae8299960b3639e65
SHA1: b8b7d5c2600106f317f731a592ff6ffc9be3ebec

3) Ergebnis für NMSAccessU.exe:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.14 no virus found
BitDefender 7.2 2007.07.15 no virus found
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 no virus found
Kaspersky 4.0.2.24 2007.07.15 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.14 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.14 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 no virus found
Aditional information
File size: 65536 bytes
MD5: c2a0c464f810d75524bdd532e3d1c171
SHA1: 47e65617591d8fb541422ec283473b96cb97f738

Ich habe die Datei „Silent Runners.vbs“ schon heruntergeladen, aber ich weiß leider nicht, wie (oder womit) ich die Datei öffnen und somit den Logfile erstellen soll. Danke nochmal für deine Hilfe.
Grüße
Euli

Werte auch mal sicherheitshalber diese Datei online aus:

C:\WINDOWS\iun3405.exe

Silentrunners ist ein VB-Script, einfach doppelklicken! :)

Hi!

Ich kann aber die VisualBasic-Datei nicht ausführen:
"Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen." lautet die Fehlermeldung. Blöd nur, dass ich mein eigener Administrator bin :lach: .

Die Auswertung von iun3405.exe ergab:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.14 no virus found
BitDefender 7.2 2007.07.15 no virus found
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 no virus found
Kaspersky 4.0.2.24 2007.07.15 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.14 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 no virus found
Aditional information
File size: 216064 bytes
MD5: e589b3aded02d02d8ddfdfda6aa30f74
SHA1: 338cc7d630f14744e248a7435569729cf6298ab9

Zitat:

Zitat von Euli (Beitrag 280181)

Ich kann aber die VisualBasic-Datei nicht ausführen:

Versuche doch mal folgendes:
Start-> Ausführen-> regedit Pfad suchen:
Hkey_Local_Machine\Software\Microsoft\Windows Script Host\Settings
Doppelklick auf Enabled , Wert ändern auf 1

Gruß

Bata

Danke, der Tipp hat super geklappt. Jetzt kann ich euch den Log von Silent Runner zeigen:
"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"WinPT - Schlüsselmanager" = "C:\Programme\GNU\GnuPG\WinPT.exe" [empty string]
"Power Menu - transparency & systemtray" = "C:\Programme\PowerMenu\PowerMenu.exe" ["Thong Nguyen"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"ScanRegistry" = "C:\W" [file not found]
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"StartCCC" = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [null data]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (w*w.cmedia.com.tw)"]
"EPSON Stylus DX3800 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"" ["SEIKO EPSON CORPORATION"]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {HKLM...CLSID} = "IZArc DragDrop Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" = "jetAudio"
-> {HKLM...CLSID} = "JetFlExt Class"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}"
-> {HKLM...CLSID} = "GNU Privacy Guard Explorer Extension"
\InProcServer32\(Default) = "C:\Programme\GNU\GnuPG\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}"
-> {HKLM...CLSID} = "GNU Privacy Guard Explorer Extension"
\InProcServer32\(Default) = "C:\Programme\GNU\GnuPG\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt Class"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "***" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"ScConfig2500USB" -> shortcut to: "C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe" ["Sphairon Access Systems GmbH"]

Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
InterBaseGuardian, InterBaseGuardian, "C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE -s" ["Inprise Corporation"]
InterBaseServer, InterBaseServer, "C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe -s -g" ["Inprise Corporation"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NMSAccessU, NMSAccessU, "C:\Programme\Gemeinsame Dateien\NMSAccessU.exe" [null data]
Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX3800 Series 2KMonitor5E\Driver = "E_FLMACE.DLL" ["SEIKO EPSON CORPORATION"]
Redirected Port\Driver = "redmonnt.dll" [null data]

----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 64 seconds, including 10 seconds for message boxes)

Und gerade hatte ich wieder das Problem, dass das System heruntergefahren werden soll. Sypmtome sind ähnlich wie bei Sasser, jedoch lassen sich entsprechende Dateien im Windowsverzeichnis nicht finden. Ich habe euch mal einen Screenshot von der Fehlermeldung gemacht, damit ihr besser versteht was ich meine. Also ich bin hier echt mit meinem Latein am Ende...
http://img66.imageshack.us/my.php?im...rfahrencm6.gif

Hmm, das silentrunners-log ist unauffällig, aber etwas stimmt nicht. Ich vermute Malware, und zwar hartnäckige. Führe mal Blacklight aus und combofix und poste die reports. Erstelle bitte zusätzlich eine Dateiliste mittels filelist.bat (Danke an KarlKarl) und poste die Einträge der letzten 30 Tage. Gruß

btw: Neuaufsetzen ist vermutlich sicherer und schneller.
edit: Der Eintrag in der win.ini sowie die Absturzmeldung sind zumindest Indizien für bot-Befall. /edit

f-secure Blacklight hat nichts gefunden:

Code:

 07/15/07 17:31:16 [Info]: BlackLight Engine 1.0.64 initialized

07/15/07 17:31:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)

07/15/07 17:31:16 [Note]: 7019 4

07/15/07 17:31:16 [Note]: 7005 0

07/15/07 17:31:20 [Note]: 7006 0

07/15/07 17:31:20 [Note]: 7011 1444

07/15/07 17:31:20 [Note]: 7026 0

07/15/07 17:31:20 [Note]: 7026 0

07/15/07 17:31:24 [Note]: FSRAW library version 1.7.1022

07/15/07 17:43:36 [Note]: 2000 1012

07/15/07 17:43:36 [Note]: 2000 1012

07/15/07 17:43:48 [Note]: 7007 0

ComboFix hat glaube ich was gefunden, jedenfalls einen Neustart durchgeführt. Der Logeintrag lautet:

Code:

 "***" - 2007-07-15 17:46:17 - ComboFix 07-07-13.8 - Service Pack 2  NTFS  
 
 

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
 
 

-------\LEGACY_NM

-------\nm
 
 

(((((((((((((((((((((((((   Files Created from 2007-06-15 to 2007-07-15  )))))))))))))))))))))))))))))))
 
 

2007-07-15 17:45        51,200        --a------        C:\WINDOWS\nircmd.exe

2007-07-15 15:50        <DIR>        d--------        C:\Programme\Photobie

2007-07-15 14:09        <DIR>        d--------        C:\DOKUME~1\***\.scribus

2007-07-15 14:08        <DIR>        d--------        C:\Programme\Scribus 1.3.3.9

2007-07-15 01:08        <DIR>        d--------        C:\DOKUME~1\***\ANWEND~1\Ambient Design

2007-07-15 00:06        <DIR>        d--------        C:\Programme\MyPaint

2007-07-15 00:06        <DIR>        d--------        C:\DOKUME~1\***\.mypaint

2007-07-14 10:55        <DIR>        d--------        C:\Programme\PowerMenu

2007-07-13 14:28        <DIR>        d--------        C:\Programme\QuickTime

2007-07-13 14:27        <DIR>        d--------        C:\Programme\Apple Software Update

2007-07-13 14:27        <DIR>        d--------        C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple

2007-07-13 04:57        <DIR>        d--------        C:\Programme\Tools&More

2007-07-13 01:48        <DIR>        d--------        C:\DOKUME~1\***\ANWEND~1\gtk-2.0

2007-07-13 01:34        <DIR>        d--------        C:\DOKUME~1\***\ANWEND~1\Inkscape

2007-07-13 01:33        <DIR>        d--------        C:\Programme\Inkscape

2007-07-12 22:01        <DIR>        d--------        C:\Programme\Corel

2007-07-11 03:14        99,200        --a------        C:\WINDOWS\system\OLE2NLS.DLL

2007-07-11 03:14        90,144        --a------        C:\WINDOWS\system\OLE2DISP.DLL

2007-07-11 03:14        57,328        --a------        C:\WINDOWS\system\OLE2CONV.DLL

2007-07-11 03:14        55,808        --a------        C:\WINDOWS\system\OLE2PROX.DLL

2007-07-11 03:14        313,344        --a------        C:\WINDOWS\system\OLE2.DLL

2007-07-11 03:14        24,598        --a------        C:\WINDOWS\system\OLE2.REG

2007-07-11 03:14        16,752        --a------        C:\WINDOWS\system\REGLOAD.EXE

2007-07-11 03:14        157,184        --a------        C:\WINDOWS\system\STORAGE.DLL

2007-07-11 03:14        102,400        --a------        C:\WINDOWS\system\COMPOBJ.DLL

2007-07-11 03:13        84,448        --a------        C:\WINDOWS\system\PCDLIB.DLL

2007-07-11 03:13        5,136        --a------        C:\WINDOWS\system\QTRAW.DLL

2007-07-11 03:13        43,444        --a------        C:\WINDOWS\system\PCDXTIF.DLL

2007-07-11 03:13        39,504        --a------        C:\WINDOWS\system\QTSMC.DLL

2007-07-11 03:13        39,244        --a------        C:\WINDOWS\system\PCDXEPS.DLL

2007-07-11 03:13        30,776        --a------        C:\WINDOWS\system\PCDXPCX.DLL

2007-07-11 03:13        3,952        --a------        C:\WINDOWS\system\QTNOTIFY.EXE

2007-07-11 03:13        3,120        --a------        C:\WINDOWS\system\QTIMCMGR.DLL

2007-07-11 03:13        28,016        --a------        C:\WINDOWS\system\PCDXBMP.DLL

2007-07-11 03:13        26,496        --a------        C:\WINDOWS\system\QTRPZA.DLL

2007-07-11 03:13        26,000        --a------        C:\WINDOWS\system\QTJPEG.DLL

2007-07-11 03:13        20,640        --a------        C:\WINDOWS\system\QTRLE.DLL

2007-07-11 03:13        175,760        --a------        C:\WINDOWS\system\QTIM.DLL

2007-07-11 03:13        136,208        --a------        C:\WINDOWS\system\CAAPLAY.DLL

2007-07-11 03:13        12,816        --a------        C:\WINDOWS\system\AAVGA.DLL

2007-07-11 03:13        106,096        --a------        C:\WINDOWS\system\QCMC.DLL

2007-07-10 05:13        <DIR>        d--------        C:\StudioLine3

2007-07-10 02:31        <DIR>        d--------        C:\Programme\Picasa2

2007-07-09 16:18        765,952        -ra------        C:\WINDOWS\system\crlds3d.dll

2007-07-09 16:18        712,704        -ra------        C:\WINDOWS\system32\Audio3D.dll

2007-07-09 16:18        379,150        -ra------        C:\WINDOWS\system32\drivers\cmaudio.sys

2007-07-09 16:18        32,768        -ra------        C:\WINDOWS\system32\cmnprop.dll

2007-07-09 16:18        135,168        -ra------        C:\WINDOWS\cmuninst.exe

2007-07-09 16:18        1,495,040        -ra------        C:\WINDOWS\mixer.exe

2007-07-09 04:45        <DIR>        d--------        C:\DOKUME~1\***\ANWEND~1\Talkback

2007-07-09 04:44        <DIR>        d--------        C:\Programme\Mozilla Thunderbird

2007-07-09 03:56        <DIR>        d--------        C:\Programme\GNU

2007-07-09 03:49        <DIR>        d--------        C:\Programme\Registry System Wizard

2007-07-09 03:36        <DIR>        d--------        C:\Programme\GNU Solfege

2007-07-09 00:57        <DIR>        d--------        C:\Programme\Mozilla Thunderbird(2)

2007-07-09 00:57        <DIR>        d--------        C:\DOKUME~1\***\ANWEND~1\Thunderbird

2007-07-08 18:02        5,767,168        --a------        C:\DOKUME~1\***\ntuser.dat

2007-07-08 17:38        <DIR>        d--------        C:\Programme\IZArc

2007-07-07 23:58        <DIR>        d--------        C:\DOKUME~1\***\ANWEND~1\GetRightToGo

2007-07-07 23:21        520,192        ---------        C:\WINDOWS\system32\ati2sgag.exe

2007-06-22 02:38        <DIR>        d--------        C:\Programme\mp3DirectCut

2007-06-22 01:50        <DIR>        d--------        C:\Programme\MP3Gain

2007-06-21 23:39        <DIR>        d--------        C:\DOKUME~1\ALLUSE~1\ANWEND~1\SiComponents

2007-06-21 23:38        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT

2007-06-21 23:38        <DIR>        d--------        C:\Programme\DVDVIDEOSOFT

2007-06-21 15:30        <DIR>        d--------        C:\APLAC

2007-06-21 15:28        <DIR>        d--------        C:\MSIMEV8
 
 

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
 

2007-07-15 14:34:23        --------        d-----w        C:\Programme\Winamp

2007-07-12 11:02:20        --------        d-----w        C:\Programme\PhotoFiltre

2007-07-12 00:22:49        --------        d--h--w        C:\Programme\InstallShield Installation Information

2007-07-12 00:22:32        --------        d-----w        C:\Programme\epson

2007-07-11 16:24:43        --------        d-----w        C:\DOKUME~1\***\ANWEND~1\gnupg

2007-07-11 12:35:53        --------        d-----w        C:\DOKUME~1\***\ANWEND~1\OpenOffice.org2

2007-07-11 10:17:47        77,328        ----a-w        C:\WINDOWS\system32\perfc007.dat

2007-07-11 10:17:47        419,954        ----a-w        C:\WINDOWS\system32\perfh007.dat

2007-07-10 19:18:50        --------        d-----w        C:\DOKUME~1\***\ANWEND~1\Skype

2007-07-10 00:31:40        --------        d-----w        C:\Programme\Google

2007-07-07 21:22:30        --------        d-----w        C:\Programme\ATI Technologies

2007-07-05 11:41:48        --------        d-----w        C:\Programme\ICQ6

2007-06-13 19:50:17        43,152        ----a-w        C:\WINDOWS\system32\drivers\ativvpxx.vp

2007-06-13 19:25:36        339,968        ----a-w        C:\WINDOWS\system32\ATIDEMGX.dll

2007-06-13 19:24:32        268,288        ----a-w        C:\WINDOWS\system32\ati2dvag.dll

2007-06-13 19:24:13        2,155,520        ----a-w        C:\WINDOWS\system32\drivers\ati2mtag.sys

2007-06-13 19:23:23        307,200        ----a-w        C:\WINDOWS\system32\atiiiexx.dll

2007-06-13 19:17:37        139,264        ----a-w        C:\WINDOWS\system32\atipdlxx.dll

2007-06-13 19:17:26        118,784        ----a-w        C:\WINDOWS\system32\Oemdspif.dll

2007-06-13 19:17:18        26,112        ----a-w        C:\WINDOWS\system32\Ati2mdxx.exe

2007-06-13 19:17:12        42,496        ----a-w        C:\WINDOWS\system32\ati2edxx.dll

2007-06-13 19:16:59        118,784        ----a-w        C:\WINDOWS\system32\ati2evxx.dll

2007-06-13 19:15:39        483,328        ----a-w        C:\WINDOWS\system32\ati2evxx.exe

2007-06-13 19:14:51        53,248        ----a-w        C:\WINDOWS\system32\ATIDDC.DLL

2007-06-13 19:10:33        8,097,792        ----a-w        C:\WINDOWS\system32\atioglx2.dll

2007-06-13 19:07:26        2,922,208        ----a-w        C:\WINDOWS\system32\ati3duag.dll

2007-06-13 18:57:21        1,512,960        ----a-w        C:\WINDOWS\system32\ativvaxx.dll

2007-06-13 18:57:04        972,072        ----a-w        C:\WINDOWS\system32\ativva6x.dat

2007-06-13 18:57:04        3,107,788        ----a-w        C:\WINDOWS\system32\ativvaxx.dat

2007-06-13 18:57:04        3,107,788        ----a-w        C:\WINDOWS\system32\ativva5x.dat

2007-06-13 18:46:28        5,431,296        ----a-w        C:\WINDOWS\system32\atioglxx.dll

2007-06-13 18:43:53        262,144        ----a-w        C:\WINDOWS\system32\atikvmag.dll

2007-06-13 18:42:29        17,408        ----a-w        C:\WINDOWS\system32\atitvo32.dll

2007-06-13 18:41:46        49,152        ----a-w        C:\WINDOWS\system32\drivers\ati2erec.dll

2007-06-13 18:41:06        50,176        ----a-w        C:\WINDOWS\system32\atiok3x2.dll

2007-06-13 18:36:45        368,640        ----a-w        C:\WINDOWS\system32\ati2cqag.dll

2007-05-29 02:16:50        --------        d-----w        C:\Programme\A9Tech

2007-05-16 15:11:44        683,520        ----a-w        C:\WINDOWS\system32\inetcomm.dll

2007-04-25 14:22:27        144,896        ----a-w        C:\WINDOWS\system32\schannel.dll

2007-04-18 16:13:24        2,854,400        ----a-w        C:\WINDOWS\system32\msi.dll

2007-04-16 20:47:36        33,624        ----a-w        C:\WINDOWS\system32\wups.dll

2007-04-16 20:45:54        1,710,936        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2007-04-16 20:45:48        549,720        ----a-w        C:\WINDOWS\system32\wuapi.dll

2007-04-16 20:45:42        325,976        ----a-w        C:\WINDOWS\system32\wucltui.dll

2007-04-16 20:45:36        203,096        ----a-w        C:\WINDOWS\system32\wuweb.dll

2007-04-16 20:45:28        92,504        ----a-w        C:\WINDOWS\system32\cdm.dll

2007-04-16 20:45:20        53,080        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2007-04-16 20:45:20        43,352        ----a-w        C:\WINDOWS\system32\wups2.dll

2007-03-27 15:29:23        78,704        ----a-w        C:\DOKUME~1\***\ANWEND~1\GDIPFONTCACHEV1.DAT

2007-01-25 01:52:26        65,536        ----a-w        C:\Programme\Gemeinsame Dateien\NMSAccessU.exe

2005-05-01 13:24:10        196,096        ----a-w        C:\Programme\b1guninst100.exe
 
 

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown 
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

2006-10-22 23:08        62080        --a------        C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

2005-05-31 01:04        853672        --a------        C:\PROGRA~1\SPYBOT~1\SDHelper.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

2007-03-14 03:43        501400        --a------        C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-19 22:55]

"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:35]

"ScanRegistry"="C:\W" []

"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 12:24]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]

"C-Media Mixer"="Mixer.exe" [2005-12-23 13:15 C:\WINDOWS\mixer.exe]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

"WinPT - Schlüsselmanager"="C:\Programme\GNU\GnuPG\WinPT.exe" [2007-05-24 21:13]

"Power Menu - transparency & systemtray"="C:\Programme\PowerMenu\PowerMenu.exe" [2002-12-20 01:17]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ClearRecentDocsOnExit"=1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveMonitor]

C:\Programme\MSI\Live Update 2\LMonitor.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

C:\WINDOWS\system32\\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

C:\Programme\Picasa2\PicasaMediaDetector.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Programme\QuickTime\qttask.exe" -atboottime
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
 
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e363952-65b3-11db-8db8-f959d8dfadc7}]

AutoRun\command- F:\setupSNK.exe
 

*Newly Created Service* - HTTPFILTER
 

Contents of the 'Scheduled Tasks' folder

2007-07-13 12:27:33  C:\WINDOWS\tasks\AppleSoftwareUpdate.job
 

**************************************************************************
 

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://w*w.gmer.net

Rootkit scan 2007-07-15 17:49:54

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ...
 

scanning hidden autostart entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden files: 0
 

**************************************************************************
 

Completion time: 2007-07-15 17:51:39 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-07-15 17:51
 

        --- E O F ---

F O R T S E T Z U N G
Und nunnoch die filelist in Auszügen:

Code:

 ----- Root ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 6C46-55C1
 

 Verzeichnis von C:\
 

15.07.2007  17:51            11.814 ComboFix.txt

15.07.2007  17:51               404 ComboFix-quarantined-files.txt

15.07.2007  17:49       805.306.368 pagefile.sys

10.07.2007  12:26               211 boot.ini

14.04.2007  00:27           785.895 bookmarks.html

[...]

              13 Datei(en)    806.408.392 Bytes

               0 Verzeichnis(se), 101.094.813.696 Bytes frei

 

----- System32 ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 6C46-55C1
 

 Verzeichnis von C:\WINDOWS\system32
 

14.07.2007  10:31                28 sfxmse.lox

11.07.2007  23:47           321.928 FNTCACHE.DAT

11.07.2007  16:59           139.776 swreg.exe

11.07.2007  12:17           404.732 perfh009.dat

11.07.2007  12:17            64.076 perfc009.dat

11.07.2007  12:17           419.954 perfh007.dat

11.07.2007  12:17            77.328 perfc007.dat

11.07.2007  12:17           939.200 PerfStringBackup.INI

09.07.2007  03:13             1.919 AUTOEXEC.NT

29.06.2007  06:24            65.536 QuickTimeVR.qtx

29.06.2007  06:24            49.152 QuickTime.qts

28.06.2007  23:57             2.206 wpa.dbl

28.06.2007  09:57        16.256.984 MRT.exe

13.06.2007  21:25           339.968 ATIDEMGX.dll

13.06.2007  21:24           268.288 ati2dvag.dll

13.06.2007  21:23           307.200 atiiiexx.dll

13.06.2007  21:17           139.264 atipdlxx.dll

13.06.2007  21:17           118.784 Oemdspif.dll

13.06.2007  21:17            26.112 Ati2mdxx.exe

13.06.2007  21:17            42.496 ati2edxx.dll

13.06.2007  21:16           118.784 ati2evxx.dll

13.06.2007  21:15           483.328 ati2evxx.exe

13.06.2007  21:14            53.248 ATIDDC.DLL

13.06.2007  21:10         8.097.792 atioglx2.dll

13.06.2007  21:07         2.922.208 ati3duag.dll

13.06.2007  20:57         1.512.960 ativvaxx.dll

13.06.2007  20:57         3.107.788 ativva5x.dat

13.06.2007  20:57           972.072 ativva6x.dat

13.06.2007  20:57         3.107.788 ativvaxx.dat

13.06.2007  20:46         5.431.296 atioglxx.dll

13.06.2007  20:43           262.144 atikvmag.dll

13.06.2007  20:42            17.408 atitvo32.dll

13.06.2007  20:41            50.176 atiok3x2.dll

13.06.2007  20:36           368.640 ati2cqag.dll

13.06.2007  14:29           520.192 ati2sgag.exe

16.05.2007  17:11           683.520 inetcomm.dll

04.05.2007  14:27         3.079.680 mshtml.dll

[...]

            2126 Datei(en)    409.758.780 Bytes

               0 Verzeichnis(se), 101.094.686.720 Bytes frei

 

----- Prefetch ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 6C46-55C1
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

15.07.2007  17:58            12.054 CMD.EXE-087B4001.pf

15.07.2007  17:58            33.632 IZARC.EXE-2B73BBEB.pf

15.07.2007  17:54            62.884 WINWORD.EXE-259486DA.pf

15.07.2007  17:53            95.584 FIREFOX.EXE-1D57670A.pf

15.07.2007  17:52            16.510 NOTEPAD.EXE-336351A9.pf

15.07.2007  17:51            17.004 REGEDIT.EXE-1B606482.pf

15.07.2007  17:50           109.652 CCC.EXE-1B087988.pf

15.07.2007  17:50            14.660 GPG.EXE-0A27F38E.pf

15.07.2007  17:50         1.159.550 NTOSBOOT-B00DFAAD.pf

15.07.2007  17:48            17.232 LOGONUI.EXE-0AF22957.pf

15.07.2007  17:45            76.776 IEXPLORE.EXE-2CA9778D.pf

15.07.2007  17:30            44.092 UPDATE.EXE-13D57D76.pf

15.07.2007  17:30            12.594 PREUPD.EXE-358AA1C1.pf

15.07.2007  17:17            84.724 INKSCAPE.EXE-1D1713B6.pf

15.07.2007  17:01            17.748 VERCLSID.EXE-3667BD89.pf

15.07.2007  16:48            21.766 TASKMGR.EXE-20256C55.pf

15.07.2007  16:35            67.812 THUNDERBIRD.EXE-031A6371.pf

15.07.2007  16:34            86.372 WMIPRVSE.EXE-28F301A9.pf

15.07.2007  16:34            49.444 CLEARPROG.EXE-1934C98F.pf

15.07.2007  16:34            63.110 EXCEL.EXE-3281D776.pf

15.07.2007  16:34            29.924 AD-AWARE.EXE-308139F4.pf

15.07.2007  16:27            31.066 PHOTOFILTRE.EXE-07843663.pf

15.07.2007  16:25            22.450 SNDVOL32.EXE-383480B7.pf

15.07.2007  16:13            31.100 WSCRIPT.EXE-32960AB9.pf

15.07.2007  16:06            57.798 WUAUCLT.EXE-399A8E72.pf

15.07.2007  15:59            12.112 SHUTDOWN.EXE-12DAD820.pf

15.07.2007  15:57           118.624 FIREFOX.EXE-17EE503B.pf

15.07.2007  15:54            15.236 AU_.EXE-2EA7E833.pf

15.07.2007  15:54            13.404 UNINSTALL.EXE-295DCB45.pf

15.07.2007  15:51            60.910 PHOTOBIE.EXE-00A1A4FD.pf

15.07.2007  15:50            34.680 PHOTOBIEINSTALLER.EXE-11E29F35.pf

15.07.2007  15:30            17.324 XP-ANTISPY.EXE-0A1E13AC.pf

15.07.2007  15:22            17.220 REGSVR32.EXE-25EEFE2F.pf

15.07.2007  15:22            14.312 AVGNT.EXE-36CA4640.pf

15.07.2007  14:41            34.344 NTVDM.EXE-1A10A423.pf

15.07.2007  14:13            26.152 GSWIN32C.EXE-093C1A84.pf

15.07.2007  14:09            61.790 SCRIBUS.EXE-01D7A5E1.pf

15.07.2007  14:08            53.534 SCRIBUS-1.3.3.9-WIN32-INSTALL-1F6101C9.pf

15.07.2007  14:06            66.856 WINAMP.EXE-08C38ED9.pf

15.07.2007  13:58            54.054 AVCONFIG.EXE-3B8B9C26.pf

15.07.2007  13:57            53.484 AVCENTER.EXE-37584419.pf

15.07.2007  13:35            18.760 RUNDLL32.EXE-12E27DD0.pf

15.07.2007  13:21            28.396 JUCHECK.EXE-22809EFC.pf

15.07.2007  13:20             6.954 JAVA.EXE-10C79773.pf

15.07.2007  13:20            62.288 JAVAW.EXE-1E0E94C2.pf

15.07.2007  13:20             6.358 JAVACPL.EXE-15A81D3A.pf

15.07.2007  13:20            14.750 RUNDLL32.EXE-3001C307.pf

15.07.2007  03:14           117.270 LOGON.SCR-151EFAEA.pf

15.07.2007  02:52           496.386 Layout.ini

15.07.2007  02:37            50.416 AVSCAN.EXE-05AECC0E.pf

15.07.2007  01:58            15.880 HIJACKTHIS.EXE-057C47D6.pf

15.07.2007  01:45            19.034 GUARDGUI.EXE-1BD45C30.pf

15.07.2007  01:43            68.170 RUNDLL32.EXE-13404D23.pf

15.07.2007  01:34            24.734 PCBIBEXP.EXE-26AE55EB.pf

15.07.2007  01:27            63.988 ACRORD32.EXE-153330F0.pf

15.07.2007  01:08            18.780 _IU14D2N.TMP-3101FE6C.pf

15.07.2007  01:08            18.746 UNINS000.EXE-17CC182A.pf

15.07.2007  01:02            28.070 ARTRAGEFREE.EXE-38252009.pf

15.07.2007  01:01            20.584 IS-FTANJ.TMP-01B522BA.pf

15.07.2007  01:01            15.014 AR2WINFREE_DE.EXE-14E55F88.pf

15.07.2007  00:24            75.962 MYPAINT.EXE-012B30F3.pf

15.07.2007  00:06            39.704 MYPAINT-0.5.0-WIN32-INSTALLER-28D7AD96.pf

14.07.2007  23:20            38.888 RSW.EXE-281901CC.pf

14.07.2007  23:20            22.602 IS-3UJ9I.TMP-0D0144C9.pf

14.07.2007  23:20            15.714 RSWLITE.EXE-0748E2F4.pf

14.07.2007  23:10            30.870 MMC.EXE-1AD3CE60.pf

14.07.2007  23:09            11.836 EVENTVWR.EXE-017D42F6.pf

14.07.2007  23:08            16.122 RSWDEBUG.EXE-0A5B761E.pf

14.07.2007  23:00            19.828 RUNDLL32.EXE-29A2BA7C.pf

14.07.2007  22:58            19.258 RUNDLL32.EXE-327ED30F.pf

14.07.2007  22:58            29.402 RUNDLL32.EXE-31EBBE5F.pf

14.07.2007  22:57            18.128 UPDATE.EXE-2FB4B48A.pf

14.07.2007  22:57            18.192 XPSP1HFM.EXE-2576414E.pf

14.07.2007  22:57            23.736 WINDOWSXP-KB823980-X86-DEU.EX-28BCBEB4.pf

14.07.2007  22:36            33.698 DRWTSN32.EXE-2B4B52AC.pf

14.07.2007  22:16            28.294 PYTHON.EXE-02537D23.pf

14.07.2007  20:23            73.294 ACRORD32INFO.EXE-19D979CC.pf

14.07.2007  20:22            62.328 GSWIN32C.EXE-2555A5E6.pf

14.07.2007  20:22            25.500 FREEPDF.EXE-054FA9B2.pf

14.07.2007  20:22            10.434 FPREDMON.EXE-04FE2A32.pf

14.07.2007  20:22            13.566 REDRUN.EXE-0746FC9C.pf

14.07.2007  20:17            88.368 ICQ.EXE-3425F561.pf

14.07.2007  11:00            22.580 AUTOSTART-MANAGER.EXE-052F9D4E.pf

14.07.2007  10:57            14.122 UNINSTALLREASON.EXE-2CADCCA2.pf

14.07.2007  10:56            18.016 UNINS000.EXE-04E80FD0.pf

14.07.2007  10:55            11.030 POWERMENU.EXE-37A8A365.pf

14.07.2007  10:55            27.964 POWERMENUSETUP_1_5_1.EXE-3B4FA0AA.pf

14.07.2007  10:31            28.502 TRANSPARENTWINDOWMANAGER.EXE-36CEAC78.pf

14.07.2007  10:29            19.272 IS-3HUOR.TMP-311F29F5.pf

14.07.2007  10:29            15.014 TRANSPARENTWINDOWMANAGERSETUP-371E0C90.pf

14.07.2007  10:22            49.232 SOFTWAREUPDATE.EXE-1E90DF1F.pf

14.07.2007  10:18            50.292 ADOBEUPDATER.EXE-370FC314.pf

13.07.2007  20:23            18.516 GLASS2K.EXE-16B550E6.pf

13.07.2007  19:11            44.252 DFRGNTFS.EXE-269967DF.pf

13.07.2007  19:11            17.422 DEFRAG.EXE-273F131E.pf

13.07.2007  18:32            35.464 AVNOTIFY.EXE-22AE9451.pf

13.07.2007  15:45            18.224 E_FARNACE.EXE-1883ED8A.pf

13.07.2007  15:45            18.440 E_FAMTACE.EXE-1C9136DF.pf

13.07.2007  15:45            20.804 E_FPREACE.EXE-11D86CD9.pf

13.07.2007  15:44            16.964 E_FBSRACE.EXE-20EDFF58.pf

13.07.2007  14:30             7.742 QTTASK.EXE-2D7EEF34.pf

13.07.2007  14:27            16.612 QUICKTIMEINSTALLERADMIN.EXE-07CECA6C.pf

13.07.2007  14:26           113.026 MSIEXEC.EXE-2F8A8CAE.pf

13.07.2007  14:26            52.798 QUICKTIMEINSTALLER.EXE-00970C0B.pf

13.07.2007  04:56            13.832 AUTOSTARTMANAGER-SETUP.EXE-0E813163.pf

13.07.2007  02:47            23.432 RUNDLL32.EXE-29213F8A.pf

13.07.2007  02:47            31.732 RUNDLL32.EXE-2FED5747.pf

13.07.2007  02:29            36.342 RUNDLL32.EXE-2D2E4AFB.pf

13.07.2007  01:31            53.312 INKSCAPE-0.45.1-1.WIN32.EXE-151623BC.pf

13.07.2007  00:43            24.132 WINPT.EXE-0F8CE59A.pf

13.07.2007  00:43            11.906 TRAYIT!.EXE-1894DC9A.pf

12.07.2007  22:02            13.460 SETUP.EXE-0A3F86FC.pf

12.07.2007  22:01            27.278 CORELDRAWGRAPHICSSUITEX3.EXE-3024E13C.pf

12.07.2007  15:12            42.440 ESCNDV.EXE-2FFF20EB.pf

12.07.2007  15:02            18.070 SCCONFIG2500USB.EXE-035CFAD9.pf

12.07.2007  05:14            13.566 CALC.EXE-02CD573A.pf

12.07.2007  03:19            30.810 MSCONFIG.EXE-35E4DAE9.pf

12.07.2007  02:23            41.442 ECOPY.EXE-2B958F4E.pf

12.07.2007  02:23            24.212 IMAPI.EXE-0BF740A4.pf

12.07.2007  02:23            11.630 RUNDLL32.EXE-451FC2C0.pf

12.07.2007  02:22            43.586 SETUP.EXE-36BFD7E7.pf

12.07.2007  02:20            10.818 EPSETUP.EXE-045F517F.pf

12.07.2007  02:20             5.482 EPSSWT.EXE-1C8C565D.pf

12.07.2007  02:00            14.036 MP3DIRECTCUT.EXE-35F8F670.pf

11.07.2007  21:13            28.098 AUDACITY.EXE-23DBBCC2.pf

11.07.2007  17:11            10.480 REG.EXE-0D2A95F7.pf

11.07.2007  17:06            19.902 IMPRTWIZ.EXE-3415700E.pf

11.07.2007  17:06            57.266 PI.EXE-393E80C5.pf

11.07.2007  15:39            20.212 FONTVIEW.EXE-08548073.pf

11.07.2007  15:09            64.104 MSCORSVW.EXE-1BF30400.pf

             130 Datei(en)      6.027.744 Bytes

               0 Verzeichnis(se), 101.094.694.912 Bytes frei

 

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 6C46-55C1
 

 Verzeichnis von C:\WINDOWS
 

15.07.2007  17:50         1.250.375 WindowsUpdate.log

15.07.2007  17:49                 0 0.log

15.07.2007  17:49               159 wiadebug.log

15.07.2007  17:49                50 wiaservc.log

15.07.2007  17:49             2.048 bootstat.dat

15.07.2007  17:48            32.588 SchedLgU.Txt

14.07.2007  23:32             1.409 QTFont.for

14.07.2007  23:32            54.156 QTFont.qfn

14.07.2007  22:57             6.450 xpsp1hfm.log

14.07.2007  22:57               660 KB823980.log

14.07.2007  10:31                28 sxhi.log

12.07.2007  13:01            12.862 EPISMG00.SWB

12.07.2007  02:20             5.692 epsswt_log.txt

11.07.2007  12:47         1.206.324 setupapi.log

11.07.2007  12:44           350.063 EPSTPLOG.TXT

11.07.2007  12:43                31 EPSMTL32.TXT

11.07.2007  03:14            95.509 LOGFILE.TXT

11.07.2007  03:14                44 MPLAYER.COR

11.07.2007  03:14                44 MPLAYER.INI

11.07.2007  03:14               246 SYSTEM.COR

11.07.2007  03:14               956 win.ini

11.07.2007  03:13               824 WIN.COR

10.07.2007  12:26               246 system.ini

10.07.2007  05:13                52 Relax.ini

09.07.2007  18:51                25 mixerdef.ini

09.07.2007  16:21               101 CMMIXER.INI

09.07.2007  03:44                89 CrypTool.INI

07.07.2007  23:58                 7 INI2=No

07.07.2007  23:58                 7 INI1=No

07.07.2007  23:15                32 wininit.ini

07.07.2007  03:29           495.340 ntbtlog.txt

04.07.2007  19:21           104.960 catchme.exe

02.07.2007  00:21                34 cdplayer.ini

21.06.2007  15:40             6.865 MSIM.INI

21.06.2007  15:37               136 fetbias.ini

21.06.2007  15:36                24 matrix.ini

21.06.2007  15:36               169 fplot.ini

21.06.2007  15:36                36 ZKONV.INI

21.06.2007  15:34               151 RUNEKIT.INI

17.06.2007  00:11            51.200 nircmd.exe

12.06.2007  23:53           139.799 ntdtcsetup.log

12.06.2007  23:53           231.154 comsetup.log

12.06.2007  23:53             1.374 imsins.log

12.06.2007  23:53           780.848 iis6.log

12.06.2007  23:53            34.126 tabletoc.log

12.06.2007  23:53           310.712 tsoc.log

12.06.2007  23:53            37.303 ocmsn.log

12.06.2007  23:53            20.947 KB933566.log

12.06.2007  23:53           333.051 ocgen.log

12.06.2007  23:53            33.744 msgsocm.log

12.06.2007  23:53            47.387 medctroc.Log

12.06.2007  23:53           117.009 netfxocm.log

12.06.2007  23:53           660.009 FaxSetup.log

12.06.2007  23:53           215.180 msmqinst.log

12.06.2007  23:53            33.809 updspapi.log

12.06.2007  23:53             1.374 imsins.BAK

12.06.2007  23:53            13.981 KB929123.log

12.06.2007  23:52            13.277 KB935840.log

12.06.2007  23:51            15.093 KB935839.log

[...]

             263 Datei(en)     19.742.129 Bytes

               0 Verzeichnis(se), 101.094.686.720 Bytes frei

 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 6C46-55C1
 

 Verzeichnis von C:\WINDOWS\tasks
 

15.07.2007  17:49                 6 SA.DAT

13.07.2007  14:27               276 AppleSoftwareUpdate.job

18.08.2001  21:00                65 desktop.ini

               3 Datei(en)            347 Bytes

               0 Verzeichnis(se), 101.094.690.816 Bytes frei

 

----- Wintemp -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 6C46-55C1
 

 Verzeichnis von C:\WINDOWS\temp
 

 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 6C46-55C1
 

 Verzeichnis von C:\DOKUME~1\Nils\LOKALE~1\Temp
 

15.07.2007  17:58           127.179 filelist.txt

15.07.2007  17:51            11.814 log.txt

15.07.2007  17:50            16.384 ~DFF912.tmp

               3 Datei(en)        155.377 Bytes

               0 Verzeichnis(se), 101.094.686.720 Bytes frei

Ich bin ja mal gespannt, ob ich noch erfahre, welches hinterlistige Programm das war… Wohl eher nicht ;-)
Grüße
Euli

Zitat:

Zitat von Euli (Beitrag 280206)

Ich bin ja mal gespannt, ob ich noch erfahre, welches hinterlistige Programm das war… Wohl eher nicht ;-)

Fürchte auch, denn ich bleib noch immer blind wie ein Hamster :heulen:.

Werte diese Datei bei virustotal aus

Zitat:

C:\WINDOWS\system\REGLOAD.EXE

Was mich irritiert:

Zitat:

14.07.2007 22:57 18.128 UPDATE.EXE-2FB4B48A.pf
14.07.2007 22:57 18.192 XPSP1HFM.EXE-2576414E.pf
14.07.2007 22:57 23.736 WINDOWSXP-KB823980-X86-DEU.EX-28BCBEB4.pf

War die Einspielung des Patches erfolgreich? :confused: Sieht danach aus. Wenn ja, kam der Patch zu spät.

Du kannst einen escan nach dieser Anleitung machen und das Ergebnis der find.bat posten. In der Zeit hast du aber vermutlich auch neuaufgesetzt. Ich habe kein gutes Gefühl.

Vielleicht sehen andere Mitglieder des Boards mehr als ich.

Gruß und btw: Gutes Arbeiten mit dir! :daumenhoc

Beim zweiten Durchsehen der Dateiliste sind mir noch zwei Dateien aufgefallen:

C:\WINDOWS\system32\sfxmse.lox - bitte auswerten

und

sxhi.log: Liegt vermutlich im Ordner system32. Schau mal, ob du was findest, wenn ja, poste den Inhalt (mit nem Editor öffnen) - vielleicht steht was Aufschlußreiches drin. Gruß

Hi!

Ja, ich habe inzwischen das System neu aufgespielt. Trotzdem vielen Dank für deine Hilfe, ordell1234! Jetzt will ich mal nicht hoffen, dass ich mir noch mal so etwas hartnäckiges einfange!

Grüße
Euli

Zitat:

Zitat von Euli (Beitrag 280478)

Ja, ich habe inzwischen das System neu aufgespielt.

:daumenhoc

Zitat:

Jetzt will ich mal nicht hoffen, dass ich mir noch mal so etwas hartnäckiges einfange!

Du musst nicht hoffen. System vernünftig sichern und beim Surfen den gesunden Menschenverstand nutzen, genügt fürs Gröbste. :blabla: