Trojaner-Board - Account wurde gehackt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Account wurde gehackt - Trojaner??? (https://www.trojaner-board.de/45797-account-wurde-gehackt-trojaner.html)

Account wurde gehackt - Trojaner???

Hi,

ich benötige mal dringend Hilfe von den Profis:

Mein Account bei einem One-Klick-Hoster wurde zum wiederholten Male gehackt - m.E. kann das nur an einem Trojaner liegen.

Mein PC:

Code:

System:
 

Microsoft Windows XP professional

Version 2002

Service Pack 2
 

Computer:
 

AMD Athlon(tm) 64 Processor

3500+

2.20 GHz, 2,00 GB RAM

Physikalische Adresserweiterung

Hijack-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:43:39, on 13.11.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe

C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\Programme\ObjectDock\ObjectDock.exe

C:\Programme\Ad-Aware 2007\aawservice.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Programme\LANCOM\Advanced_VPN_Client\ncprwsnt.exe

C:\Programme\LANCOM\Advanced_VPN_Client\ncpsec.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\LANCOM\Advanced_VPN_Client\rwsrsu.exe

C:\Programme\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm

O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm

O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: ncprwsnt - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\ncprwsnt.exe

O23 - Service: NcpSec - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\ncpsec.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\rwsrsu.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe
 

--

End of file - 5551 bytes

An den Administrator: Ich hoffe, dass ich mit meinem Post jetzt endlich alles richtig gemacht habe - ich bin ganz verzweifelt und benötige doch soo dringend Hilfe.

Vielen Dank vorab für die Mühe & viele Grüße
Adrianisback

Morgen,

ich kann hier erst mal keinen Trojaner entdecken.
Mach bitte folgendes und beschreibe, woher du
weißt, dass dein Account gehackt wurde?

* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker

Hallo,

zunächst einmal vielen Dank für Deine fachmännische Hilfe!!!

Zitat:

Zitat von Cleriker (Beitrag 304793)

beschreibe, woher du
weißt, dass dein Account gehackt wurde?

Ich wollte mich wie gewohnt einloggen und erhielt den Hinweis, dass mein Account gefunden wurde, aber das Passwort falsch sei (somit wurde mein Passwort unbefugt verändert). Danach wollte ich mir mittels der Option "Passwort vergessen" ein neues Passwort zusenden lassen, doch nach Eingabe meiner E-Mail-Adresse erschien der Hinweis, dass meine E-Mail-Adresse unbekannt sei (somit wurde auch diese unbefugt geändert). Nach einigem (telefonischen und schriftlichen) Hin und Her wurde mir vom Anbieter ein neuer Zugang zu meinem Account (mit einem neuen Passwort) verschafft.

Nun zu eScan:

Die Schritt-für-Schritt-Anleitung habe ich genauestens befolgt. Leider wird der Scan automatisch nach ca. 20 Minuten und nach ca. 60.000 geprüften Dateien beendet (wenn ich es richtig gesehen habe beim Versuch, den Ordner "Internet Explorer" unter C:\Programme zu scannen).

Kann das an meiner vorherigen Durchführung dieser Anweisung liegen?:

Zitat:

Zitat von Cleriker (Beitrag 304793)

* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Im Übrigen benutze ich den IE nie, sondern von Anfang an den Firefox.

Hier nun das eScan-Log (bis zum überraschenden Beenden):

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

find.bat Version 2007.06.16.01 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: NETWORK 

    

eScan Version: 9.5.5 

Sprache: German 

C:\DOKUME~1\Test\LOKALE~1\Temp\MWAV.LOG

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen. 

 System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen. 

 System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen. 

 System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. 

 

 

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

 Datei C:\Programme\Cryptload\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

 Offending file found: C:\WINDOWS\system32\unrar.dll 

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!! 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~ 
 Prozesse und Module 

~~~~~~~~~~~~~~~~~~~~~~ 

 Executable Command Found in E\Shell\AutoRun\command: E:\BBCAuto.exe 

~~~~~~~~~~~~~~~~~~~~~~ 
 Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

C:\WINDOWS\System32\drivers\etc\hosts :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Specherüberprüfung: Aktiviert 

 Registry Überprüfung: Aktiviert 

 System-Ordner Überprüfung: Aktiviert 

 Überprüfung der Systembereiche: Deaktiviert 

 Überprüfung der Dienste: Aktiviert 

 Überprüfung der Festplatten: Deaktiviert 

 Überprüfung aller Festplatten :Aktiviert 

 

Batchstart: 19:40:20,32 

Batchende: 19:40:25,59

Für Deine weitere Hilfe wäre ich sehr dankbar.

Viele Grüße
Adrianisback

Aus dem escan kann ich keine Schädlinge entnehmen:

Hast du dir dieses Remote-Tool selber zugelegt:

Zitat:

C:\Programme\Cryptload\router\FRITZ!Box\nc.exe

Führe den escan bitte erneut durch (abgesicherter Modus eingehalten?)
und achte darauf, dass du nicht am Netz hängst. Führe desweiteren
folgende Scans durch. Fals du wirklich ausspioniert wurdest, kriegen
wir's so raus:

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

* tcpview
1. Lade dir das Tool -> tcpview
2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

mfg Cleriker

Zitat:

Zitat von Cleriker (Beitrag 304979)

Führe den escan bitte erneut durch (abgesicherter Modus eingehalten?)
und achte darauf, dass du nicht am Netz hängst.

kurze Zwischenfrage (bin "auffe" Arbeit und kann daher den Rest noch nicht durchführen):

Ich wählte für den eScan den abgesicherten Modus mit Netzwerktreibern - war das der falsche Modus? Dort gab es noch den abgesicherten Modus und noch eine dritte Variante, die ich gerade nicht parat habe.

Cryptload war von mir gewollt, wird aber nicht mehr benötigt - werde ich somit heute abend deinstallieren.

Zitat:

Ich wählte für den eScan den abgesicherten Modus mit Netzwerktreibern - war das der falsche Modus?

ne ist ok, solange die Av-Tools deaktiviert sind.

Zitat:

Cryptload war von mir gewollt, wird aber nicht mehr benötigt - werde ich somit heute abend deinstallieren.

Ok, mache bitte heute abend die anderen scans trotzdem,
damit wir dich als Ursache ausschließen können.

mfg Cleriker

eScan:

...bricht auch weiterhin an der gleichen Stelle ab. Ich habe den eScan jetzt im "normalen" abgesicherten Modus gestartet und zuvor das Netzwerkkabel herausgezogen - ohne Erfolg. (Was sind "AV-Tools"???)

Filelist:

Code:

----- Root ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 10D4-4791
 

 Verzeichnis von C:\
 

15.11.2007  18:06                43 filelist.txt

15.11.2007  17:35     2.145.386.496 pagefile.sys

14.11.2007  18:46            37.788 hpfr5600.log

03.11.2007  11:18            54.204 test.log

01.11.2007  09:25               211 boot.ini

06.09.2007  18:05                 0 conmgr.log

              15 Datei(en)  2.145.783.626 Bytes

               0 Verzeichnis(se), 67.938.074.624 Bytes frei

 

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 10D4-4791
 

 Verzeichnis von C:\WINDOWS
 

15.11.2007  17:37                50 Lic.xxx

15.11.2007  17:37           406.956 ntbtlog.txt

15.11.2007  17:36             2.048 bootstat.dat

15.11.2007  17:34           466.349 WindowsUpdate.log

15.11.2007  17:34            32.618 SchedLgU.Txt

15.11.2007  17:34                50 wiaservc.log

15.11.2007  17:34               216 wiadebug.log

15.11.2007  17:25                 0 0.log

15.11.2007  13:27               116 NeroDigital.ini

15.11.2007  13:03             9.625 wmsetup.log

03.11.2007  20:46            22.736 setupapi.log

03.11.2007  11:29                 0 BBCAuto.INI

01.11.2007  09:25               520 win.ini

01.11.2007  09:25               227 system.ini

27.10.2007  16:26            60.416 ALCFDRTM.VER

19.10.2007  00:52                24 softcsa.ini

             109 Datei(en)      6.865.884 Bytes

               0 Verzeichnis(se), 67.938.070.528 Bytes frei

 

 

----- System 32 (Achtung: Zeitfenster beachten!) --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 10D4-4791
 

 Verzeichnis von C:\WINDOWS\system32
 

15.11.2007  17:30           401.200 perfh009.dat

15.11.2007  17:30           415.800 perfh007.dat

15.11.2007  17:30            62.480 perfc009.dat

15.11.2007  17:30            75.194 perfc007.dat

15.11.2007  17:30           966.250 PerfStringBackup.INI

15.11.2007  17:25                 0 NvApps.xml

12.10.2007  19:17                 6 reboot.txt

12.10.2007  17:36           505.392 msvcp71.dll

            2016 Datei(en)    431.069.167 Bytes

               0 Verzeichnis(se), 67.937.882.112 Bytes frei

 

----- Prefetch ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 10D4-4791
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

15.11.2007  17:34           177.814 WINRAR.EXE-3588DFE8.pf

15.11.2007  17:33            80.462 FIREFOX.EXE-1D57670A.pf

15.11.2007  17:33            15.836 FLASHGOT.EXE-005398D4.pf

15.11.2007  17:30            27.278 WMIPRVSE.EXE-28F301A9.pf

15.11.2007  17:30            31.382 WMIADAP.EXE-2DF425B2.pf

15.11.2007  17:29            18.426 SNDVOL32.EXE-383480B7.pf

15.11.2007  17:29            90.648 DIVXSM.EXE-3407AB62.pf

15.11.2007  17:28            63.730 WMPLAYER.EXE-09969333.pf

15.11.2007  17:27            23.560 WUAUCLT.EXE-399A8E72.pf

15.11.2007  17:27           718.262 NTOSBOOT-B00DFAAD.pf

15.11.2007  14:24            55.782 AVP.EXE-26658326.pf

15.11.2007  14:24           102.232 THUNDERBIRD.EXE-031A6371.pf

15.11.2007  14:22            17.894 RUNDLL32.EXE-2A94BB85.pf

15.11.2007  14:22            16.942 RUNDLL32.EXE-2E5AF1D7.pf

15.11.2007  14:19           331.768 Layout.ini

15.11.2007  14:03            13.416 RUNDLL32.EXE-268BFF96.pf

15.11.2007  13:38            51.966 BOB BAUT EINEN PARK.EXE-0241ECDF.pf

15.11.2007  13:38             9.200 BOB BAUT EINEN PARK.EXE-20956C96.pf

15.11.2007  13:37            53.128 NMINDEXSTORESVR.EXE-1DBCF9FD.pf

15.11.2007  13:27            63.674 POWERDVD.EXE-35D9A3BA.pf

15.11.2007  13:03            32.748 SETUP_WM.EXE-19AC5A9B.pf

15.11.2007  12:25            65.872 WMPLAYER.EXE-0996933B.pf

15.11.2007  11:29            60.026 UPDATER.EXE-17250F73.pf

15.11.2007  10:46            36.532 ADOBEUPDATER.EXE-370FC314.pf

15.11.2007  10:45            63.858 ACRORD32.EXE-3521F7AC.pf

15.11.2007  07:54            97.524 FIREFOX.EXE-17EE503B.pf

15.11.2007  07:18            83.142 DVBVIEWER.EXE-14E5018D.pf

14.11.2007  21:17            93.312 VIRTUA~1.EXE-0A9B3FFE.pf

14.11.2007  20:16            46.302 MANAGER08.EXE-13E38FCE.pf

14.11.2007  20:12           220.802 CMD.EXE-087B4001.pf

14.11.2007  19:54           145.774 NOTEPAD.EXE-336351A9.pf

14.11.2007  18:46            19.808 HPZENG09.EXE-21FF5F4F.pf

14.11.2007  18:46             8.180 HPZSTW09.EXE-198F12E2.pf

14.11.2007  18:46            15.174 HPDARC.EXE-25DD680A.pf

14.11.2007  18:46            10.546 HPZSTC09.EXE-3AFDDA16.pf

14.11.2007  18:41            46.614 DFRGNTFS.EXE-269967DF.pf

14.11.2007  18:41            16.644 DEFRAG.EXE-273F131E.pf

12.11.2007  20:11            51.582 FLASHGET.EXE-0B7C6B66.pf

12.11.2007  13:55            17.556 IMAPI.EXE-0BF740A4.pf

11.11.2007  17:13            13.440 RUNDLL32.EXE-451FC2C0.pf

10.11.2007  12:54            66.632 NERO.EXE-2031B565.pf

              41 Datei(en)      3.175.468 Bytes

               0 Verzeichnis(se), 67.937.968.128 Bytes frei

 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 10D4-4791
 

 Verzeichnis von C:\WINDOWS\tasks
 

15.11.2007  17:34                 6 SA.DAT

               3 Datei(en)            347 Bytes

               0 Verzeichnis(se), 67.937.968.128 Bytes frei

 

----- Windows/Temp ----------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 10D4-4791
 

 Verzeichnis von C:\WINDOWS\Temp
 

30.09.2007  17:53            16.384 Perflib_Perfdata_730.dat

               1 Datei(en)         16.384 Bytes

               0 Verzeichnis(se), 67.937.968.128 Bytes frei

 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 10D4-4791
 

 Verzeichnis von C:\DOKUME~1\Test\LOKALE~1\Temp
 

15.11.2007  18:04             6.849 kave_1064.log

15.11.2007  18:04         1.404.572 MWAVC.LOG

15.11.2007  18:04        10.994.401 MWAV.LOG

15.11.2007  17:58            56.460 mwXface.log

15.11.2007  17:38             4.091 Download.log

15.11.2007  17:38               488 EUpdate.ini

15.11.2007  17:38                 0 filelist.lst

15.11.2007  17:37               196 sfdb.dat

15.11.2007  17:30            30.371 jusched.log

14.11.2007  20:12               329 agk.tbl

14.11.2007  19:39             6.849 kave_792.log

14.11.2007  19:20                91 IUpdate.ini

14.11.2007  19:18             6.849 kave_1976.log

14.11.2007  18:57                 0 success.sem

14.11.2007  18:57             4.012 update.txt

14.11.2007  18:57            31.312 unp039.avc

14.11.2007  18:57            46.316 unp036.avc

14.11.2007  18:57           161.956 Spyware.sdb

14.11.2007  18:57           728.958 Dir.sdb

14.11.2007  18:57           255.868 spydb.old

14.11.2007  18:57           255.868 spydb.avs

14.11.2007  18:57         1.377.884 File2.sdb

14.11.2007  18:57         1.273.993 Cid.sdb

14.11.2007  18:57         2.097.689 File1.sdb

14.11.2007  18:57               822 remove.ini

14.11.2007  18:57            86.677 phupdn.txz

14.11.2007  18:57           156.854 krnmacro.avc

14.11.2007  18:57               227 httpsite.txt

14.11.2007  18:57               111 ftpsites.txt

14.11.2007  18:57            19.836 fa001.avc

14.11.2007  18:57            35.957 fa.avc

14.11.2007  18:57            34.206 ext009.avc

14.11.2007  18:57            22.999 ext006c.avc

14.11.2007  18:57            25.968 dailyc.avc

14.11.2007  18:57            46.775 daily.avc

14.11.2007  18:57               412 daily-ex.avx

14.11.2007  18:57             4.825 daily-ec.avc

14.11.2007  18:57             6.121 base159.avc

14.11.2007  18:57            45.623 base158.avc

14.11.2007  18:56            48.935 base157.avc

14.11.2007  18:56            49.951 base094.avc

14.11.2007  18:56            17.257 base064c.avc

14.11.2007  18:56            40.814 base063c.avc

14.11.2007  18:56            51.053 base029.avc

14.11.2007  18:56             4.082 avp_ext.set

14.11.2007  18:56             4.082 avp_x.set

14.11.2007  18:56             4.082 avp.set

14.11.2007  18:56            29.274 avp.klb

14.11.2007  18:56             1.047 00184597.key

14.11.2007  18:56             1.016 00184596.key

14.11.2007  18:55           626.688 msvcr80.dll

14.11.2007  18:55           548.864 msvcp80.dll

14.11.2007  18:55             7.168 erootdrv.sys

14.11.2007  18:55           241.664 MYDB.DLL

13.11.2007  08:56           461.232 ~FPE.TTF

12.11.2007  11:50               504 daily-ex.avc

12.11.2007  11:50            48.293 unp037.avc

12.11.2007  11:50            42.517 unp032.avc

12.11.2007  11:50            40.955 base062c.avc

12.11.2007  11:50            48.011 base038c.avc

12.11.2007  11:50            50.107 base037c.avc

12.11.2007  11:50            50.768 base034c.avc

12.11.2007  11:50            50.166 base036c.avc

12.11.2007  11:46           301.485 phupdn.txt

12.11.2007  11:30            18.427 global.daz

11.11.2007  18:31                 0 EPSLog.txt

11.11.2007  18:26         2.342.912 ~DF31C3.tmp

11.11.2007  16:28           172.032 esupdate.exe

11.11.2007  16:25            39.936 unregx.exe

11.11.2007  16:05            60.416 reload.exe

11.11.2007  15:07         1.974.272 msvl64.dll

11.11.2007  15:00            44.032 setpriv.exe

11.11.2007  15:00           465.472 mexe.com

11.11.2007  15:00           465.472 MWAVSCAN.COM

11.11.2007  14:55           155.648 msvlclnt.dll

11.11.2007  14:47            48.704 Getvlist.exe

10.11.2007  09:49             1.040 java_install_reg.log

08.11.2007  16:53            51.960 Czech.Age

08.11.2007  16:53            51.545 Tamil.age

08.11.2007  16:53            91.771 Chinese.Age

08.11.2007  16:53           110.675 Icelandic.Age

08.11.2007  16:53           115.585 Polish.Age

08.11.2007  16:53           112.443 Finnish.Age

08.11.2007  16:53           116.740 French.Age

08.11.2007  16:53           115.630 Spanish.Age

08.11.2007  16:53           116.354 Spanishl.Age

08.11.2007  16:53           111.385 Romanian.Age

08.11.2007  16:52           123.926 Portuguese.Age

08.11.2007  16:52           122.996 Italian.Age

08.11.2007  16:52           125.772 German.Age

08.11.2007  16:52           125.772 language.ini

08.11.2007  16:43           407.552 viewtcp.exe

08.11.2007  15:30           429.568 MWAVReg.EXE

08.11.2007  13:05            48.852 unp034.avc

08.11.2007  13:05            65.980 unp035.avc

08.11.2007  13:05            50.423 base150.avc

08.11.2007  13:05            51.031 base146.avc

08.11.2007  13:05            49.270 base050.avc

08.11.2007  13:05            49.161 base030.avc

08.11.2007  13:05            48.907 base004.avc

08.11.2007  13:05            37.599 ext005c.avc

08.11.2007  13:05            52.127 base061c.avc

08.11.2007  13:05            51.062 base005c.avc

08.11.2007  12:55             5.270 Czech.dow

08.11.2007  12:55            11.723 Czech.con

08.11.2007  12:55             5.222 Tamil.dow

08.11.2007  12:55            11.466 Tamil.con

08.11.2007  12:55             9.290 Chinese.con

08.11.2007  12:55            12.413 Icelandic.con

08.11.2007  12:55            12.292 Finnish.con

08.11.2007  12:55            13.462 Polish.con

08.11.2007  12:55            13.500 French.con

08.11.2007  12:55            12.600 Spanish.con

08.11.2007  12:55            13.084 Spanishl.con

08.11.2007  12:55            12.261 Romanian.con

08.11.2007  12:55            13.272 Portuguese.con

08.11.2007  12:54            12.279 Italian.con

08.11.2007  12:54            15.679 German.con

08.11.2007  12:54            15.679 config.lan

07.11.2007  17:43           187.392 download.exe

07.11.2007  17:25            98.304 MWAVL.exe

07.11.2007  13:44            11.749 English.con

03.11.2007  16:55            50.131 base056.avc

02.11.2007  15:22            50.316 base155.avc

02.11.2007  12:30            49.936 unp027.avc

02.11.2007  12:30            50.099 base156.avc

02.11.2007  12:30            49.593 base060c.avc

02.11.2007  12:30            43.455 krnengn.avc

01.11.2007  12:35            55.610 base144.avc

01.11.2007  11:08               628 {AC76BA86-7AD7-1031-7B44-A81000000003}.ini

01.11.2007  10:56           530.408 jar_cache30826.tmp

31.10.2007  21:12            50.018 base088.avc

30.10.2007  14:18           120.392 krnunp.avc

29.10.2007  10:33            64.818 unp016.avc

29.10.2007  10:33            75.678 unp007.avc

27.10.2007  20:58            27.023 gen005.avc

27.10.2007  20:58            36.190 gen004.avc

27.10.2007  20:58            51.288 unp005.avc

27.10.2007  20:58            49.867 base072.avc

26.10.2007  11:17            50.563 base154.avc

26.10.2007  11:17            47.980 base002.avc

26.10.2007  11:17            50.073 base059c.avc

26.10.2007  11:17            50.368 base058c.avc

26.10.2007  11:17            50.489 base057c.avc

26.10.2007  11:17            49.385 base056c.avc

26.10.2007  11:17            50.158 base055c.avc

26.10.2007  11:17            49.874 base054c.avc

25.10.2007  16:46             1.332 esupd.ini

25.10.2007  12:20            30.277 unp024.avc

25.10.2007  12:20            48.461 base016.avc

25.10.2007  12:20            52.452 unp011.avc

25.10.2007  12:20            49.097 base021.avc

25.10.2007  12:20            48.703 base006.avc

24.10.2007  18:57           189.034 TWAIN.LOG

24.10.2007  18:55           326.976 N1240UA.shd

24.10.2007  18:55           395.560 ~SG_SI00.TMP

24.10.2007  18:47                 3 Twain001.Mtx

24.10.2007  18:47               156 Twunk001.MTX

24.10.2007  18:35            49.795 base042.avc

24.10.2007  18:32            52.106 English.Age

24.10.2007  10:56            14.755 ext999.avc

24.10.2007  10:56            79.893 ca.avc

24.10.2007  10:56            34.163 unp012.avc

24.10.2007  10:56            49.492 base032.avc

24.10.2007  10:56            40.216 krn004.avc

23.10.2007  15:04            48.732 unp009.avc

23.10.2007  15:04            48.850 base009.avc

23.10.2007  15:04            49.501 base026.avc

22.10.2007  18:57           530.408 jar_cache26812.tmp

22.10.2007  12:06            49.463 base031.avc

22.10.2007  09:57            47.750 base038.avc

22.10.2007  09:57            48.791 base013.avc

21.10.2007  14:34            63.800 unp023.avc

21.10.2007  14:34            53.920 unp003.avc

21.10.2007  14:34            54.423 unp008.avc

21.10.2007  14:34            46.579 unp001.avc

21.10.2007  14:34            50.102 base022.avc

21.10.2007  14:34            48.522 base017.avc

21.10.2007  14:34            48.880 base011.avc

20.10.2007  23:04             5.552 ~K20000.tmp

20.10.2007  13:06                 0 TempCover7

20.10.2007  12:50            49.258 base037.avc

20.10.2007  12:50            49.035 base033.avc

20.10.2007  12:50            48.606 base010.avc

20.10.2007  12:50            32.195 krnexe.avc

20.10.2007  12:26               906 MicroWorld Toolkit Utility.txt

19.10.2007  16:43            61.949 unp019.avc

19.10.2007  16:43            47.853 base087.avc

19.10.2007  16:43            49.620 base001.avc

18.10.2007  17:40            35.946 unp025.avc

18.10.2007  17:40            38.251 unp020.avc

18.10.2007  17:40            54.238 unp015.avc

17.10.2007  10:40            49.993 base145.avc

16.10.2007  20:06            25.915 unp004.avc

15.10.2007  16:41            50.188 base039.avc

             629 Datei(en)     54.501.720 Bytes

               0 Verzeichnis(se), 67.937.931.264 Bytes frei

tcpview:

...ist leer - musste ich vor dem Speichern noch etwas mit diesem Programm machen?

wäre bitte nochmals jemand so freundlich und könnte sich meine Logs ansehen???

Vielen Dank für die Mühe und viele Grüße
Adrianisback

Zitat:

Was sind "AV-Tools"???)

Antivirtools -> bei dir KAspersky

In deinem Filelist kann ich auch nichts entdecken.
tcpview sollte nicht leer sein, bitte nochmal erstellen.
Den Escan nach der Deaktivierung von Kaspersky
wiederholt versuchen. Wenn möglich, im abgesicherten
Modus, wenn nicht im Normalmodus.

mfg Cleriker