Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   iexplore.exe im hintergrund und office installation? (https://www.trojaner-board.de/45897-iexplore-exe-hintergrund-office-installation.html)

paranoize 16.11.2007 10:04

iexplore.exe im hintergrund und office installation?
 
Guten Morgen!

Habe das Problem dass sich sobald ich den Arbeitsplatz öffne im Hintergrund mehrere iexplore.exe öffnen. Das ist schonmal soweit gegangen dass sich über Nacht so viele geöffnet habn dass der cpu heißgelaufen ist. Der computer hat auch schon ohne etwas zu starten Werbesounds abgespielt... ist aber nur 1 mal passiert...
Außerdem startet er ab und zu ohne ersichtlichem Grund das Office Installationsprogramm und will dass ich die cd einlege.
Habe schon versucht mit spybot, tuneup 2007, ccleaner, ad-aware, tweakxp und gdata antivirenkit das Problem zu lösen. Leider ohne Erfolg.
Spybot hat mir (nach dem systemstart) die meldung gebracht dass C:\WINDOWS\system32\xydzyh.exe in der registry was ändern will. Der prozess läuft aber nicht und nach dem löschen nach dem reboot wieder im Verzeichniss.
Ich hoffe ihr könnt mir helfen!


Hier meine hijackthis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:01:09, on 16.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Daphne\Daphne.exe
C:\WINDOWS\explorer.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{258FD1BC-0545-44ED-A681-5D3BFC5D4D6F}: NameServer = 195.58.161.122,195.58.160.194
O17 - HKLM\System\CS1\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Cleriker 16.11.2007 10:37

Hi und :) Herzlich Willkommen im Trojaner-Board :)

1)Schauen wir erst mal was du alles auf deinem Rechner
laufen hast.
Teatimerdeativierung
Deaktiviere bitte den Teatimer wie folgt :
Starte Spybot S&D --> klicke auf "Modus"
--> hake an "Erweiterte Modus" --> mit "Ja" bestätigen
--> klicke auf "Werkzeuge" --> klicke auf "Resident"
--> das Häkchen entfernen aus der "Resident "TeaTimer"
(Schutz aller Systemeinstellungen) --> beende Spybot S&D.

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
Zitat:

C:\WINDOWS\system32\xydzyh.exe
C:\WINDOWS\system\svchest.exe
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

2) Sagt dir diese Umleitung was:
Zitat:

address: Inode Telekommunikationsdienstleistungs GmbH
address: Technical Center
address: Shuttleworth Strasse 4-8 - Object 50
address: 1210 Vienna
address: Austria
mfg Cleriker

paranoize 16.11.2007 13:31

hi!

Teatimer war schon deaktiviert...

Totalvirus log :

xydzyh.exe:

Code:

Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2007.11.16.0        2007.11.16        -
AntiVir        7.6.0.34        2007.11.16        TR/Crypt.XPACK.Gen
Authentium        4.93.8        2007.11.15        -
Avast        4.7.1074.0        2007.11.15        -
AVG        7.5.0.503        2007.11.15        SHeur.TYN
BitDefender        7.2        2007.11.16        Trojan.Downloader.Delf.NYX
CAT-QuickHeal        9.00        2007.11.15        Trojan.Hupigon.gen
ClamAV        0.91.2        2007.11.16        -
DrWeb        4.44.0.09170        2007.11.16        -
eSafe        7.0.15.0        2007.11.14        Suspicious File
eTrust-Vet        31.2.5300        2007.11.16        -
Ewido        4.0        2007.11.15        -
FileAdvisor        1        2007.11.16        -
Fortinet        3.11.0.0        2007.10.19        -
F-Prot        4.4.2.54        2007.11.16        W32/Agent.GZK
F-Secure        6.70.13030.0        2007.11.16        -
Ikarus        T3.1.1.12        2007.11.16        Trojan-Downloader.Delf.NYX
Kaspersky        7.0.0.125        2007.11.16        -
McAfee        5164        2007.11.15        Generic Downloader.ab
Microsoft        1.3007        2007.11.12        -
NOD32v2        2662        2007.11.16        -
Norman        5.80.02        2007.11.15        -
Panda        9.0.0.4        2007.11.15        Bck/Hupigon.KSG
Prevx1        V2        2007.11.16        Heuristic: Suspicious File With Persistence
Rising        20.18.40.00        2007.11.16        -
Sophos        4.23.0        2007.11.16        Mal/Basine-C
Sunbelt        2.2.907.0        2007.11.16        Trojan.Crypt.XPACK.Gen
Symantec        10        2007.11.16        Downloader
TheHacker        6.2.9.130        2007.11.15        -
VBA32        3.12.2.5        2007.11.16        suspected of Backdoor.XiaoBird.17 (paranoid heuristics)
VirusBuster        4.3.26:9        2007.11.15        Trojan.DL.Agent.WQO
Webwasher-Gateway        6.0.1        2007.11.16        Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 34304 bytes
MD5: 330fe670f107a8b857067c09ef4c6735
SHA1: 622a0595e9ee8338ab131001df16e90d8dffa47a
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=3A0E541D00EFBEDF86D6000B9635980016C669FF

svchest.exe:

Code:

Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2007.11.16.0        2007.11.16        -
AntiVir        7.6.0.34        2007.11.16        TR/Crypt.XPACK.Gen
Authentium        4.93.8        2007.11.15        -
Avast        4.7.1074.0        2007.11.15        -
AVG        7.5.0.503        2007.11.15        SHeur.TYN
BitDefender        7.2        2007.11.16        Trojan.Downloader.Delf.NYX
CAT-QuickHeal        9.00        2007.11.15        TrojanDownloader.Delf.bfu
ClamAV        0.91.2        2007.11.16        -
DrWeb        4.44.0.09170        2007.11.16        -
eSafe        7.0.15.0        2007.11.14        Suspicious File
eTrust-Vet        31.2.5300        2007.11.16        -
Ewido        4.0        2007.11.15        -
FileAdvisor        1        2007.11.16        -
Fortinet        3.11.0.0        2007.10.19        -
F-Prot        4.4.2.54        2007.11.16        W32/Agent.GZK
F-Secure        6.70.13030.0        2007.11.16        -
Ikarus        T3.1.1.12        2007.11.16        Trojan-Downloader.Delf.NYX
Kaspersky        7.0.0.125        2007.11.16        -
McAfee        5164        2007.11.15        Generic Downloader.ab
Microsoft        1.3007        2007.11.12        -
NOD32v2        2662        2007.11.16        -
Norman        5.80.02        2007.11.15        -
Panda        9.0.0.4        2007.11.15        Bck/Hupigon.KSG
Rising        20.18.40.00        2007.11.16        Trojan.Win32.Agent.ad
Sophos        4.23.0        2007.11.16        Mal/Basine-C
Sunbelt        2.2.907.0        2007.11.16        Trojan.Crypt.XPACK.Gen
Symantec        10        2007.11.16        Downloader
TheHacker        6.2.9.130        2007.11.15        Trojan/Downloader.gen
VBA32        3.12.2.5        2007.11.16        suspected of Backdoor.XiaoBird.17 (paranoid heuristics)
VirusBuster        4.3.26:9        2007.11.15        Trojan.DR.Agent.WQP
Webwasher-Gateway        6.0.1        2007.11.16        Win32.ModifiedUPX.gen!90 (suspicious)

weitere Informationen
File size: 89027 bytes
MD5: d5b64d48f2d5f7419b9e0fabf9b3a9c4
SHA1: 390a431de1d4a0940dfa8b2c0a9a2f4fef5c7058
packers: UPX
packers: UPX, RAR
packers: UPX


escan log :

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL
   
eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/16/2007 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
 System found infected with medload Browser Hijacker (C:\WINDOWS\tempf.txt)! Action taken: Keine Aktion vorgenommen.
 System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
 System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
 Datei C:\WINDOWS\b.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\WINDOWS\b.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
 Offending file found: C:\WINDOWS\1.dat
 Offending file found: C:\WINDOWS\tempf.txt
 Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKLM\Software\magnet !!!
 Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\winupdate !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b761a78c-0b7e-11dc-907e-00112fe048b8} !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd09e1c1-4a48-11dc-90a2-000000000000} !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\Emanuel\install\TomTom 6.0.2 For PPC - WM2003 and WM5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Gescannte Dateien: 90653
 Gefundene Viren: 12
 Anzahl der desinfizierten Dateien: 0
 Umbenannte Dateien: 0
 Anzahl der gelöschten Dateien: 0
 Anzahl Fehler: 86
 Dauer des Scans bisher: 01:11:23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Deaktiviert
 Überprüfung aller Festplatten :Aktiviert
 
Batchstart: 13:17:36,57
Batchende: 13:17:42,03


Zitat:

Sagt dir diese Umleitung was:
Zitat:
address: Inode Telekommunikationsdienstleistungs GmbH
address: Technical Center
address: Shuttleworth Strasse 4-8 - Object 50
address: 1210 Vienna
address: Austria
ja das ist mein internetan bieter ;)


hoffentlich hab ich alles richtig gemacht!

Cleriker 16.11.2007 14:19

Zitat:

hoffentlich hab ich alles richtig gemacht!
ja Super, so lobe ich mir das. :daumenhoc

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:

Files to delete:
C:\WINDOWS\system32\xydzyh.exe
C:\WINDOWS\system\svchest.exe
C:\WINDOWS\b.exe
C:\WINDOWS\system32\svkp.sys
(nur wenn du nicht C&C-Renegade hast)
C:\WINDOWS\tempf.txt
bho.dll (bitte suchen)
C:\WINDOWS\1.dat
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

* CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

danach bitte ein neues hijackthis + escan + silentrunner
* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

mfg Cleriker

paranoize 16.11.2007 16:50

Avanger:

Code:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oxlgaare

*******************

Script file located at: \??\C:\Program Files\usydxqbb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\xydzyh.exe deleted successfully.
File C:\WINDOWS\system\svchest.exe deleted successfully.
File C:\WINDOWS\b.exe deleted successfully.
File C:\WINDOWS\system32\svkp.sys deleted successfully.
File C:\WINDOWS\tempf.txt deleted successfully.
File C:\WINDOWS\1.dat deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

bho.dll hab ich nicht gefunden...

hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:29, on 16.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\DOKUME~1\***\LOKALE~1\Temp\mexe.com
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{258FD1BC-0545-44ED-A681-5D3BFC5D4D6F}: NameServer = 195.58.161.122,195.58.160.194
O17 - HKLM\System\CS1\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe (file missing)
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4805 bytes



silentrunners:

Code:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"AVKTray" = ""C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"" ["G DATA Software AG"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
                                        \StubPath  = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
                                        \StubPath  = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                  \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                  \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
  -> {HKLM...CLSID} = "AlcoholShellEx"
                  \InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AxShlex.dll" ["Alcohol Soft Development Team"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                  \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{8932AEFE-9DB6-4f43-AFB2-5682F55E773A}" = "VPCHostCopyHook"
  -> {HKLM...CLSID} = "VPCHostCopyHook"
                  \InProcServer32\(Default) = "C:\Programme\Microsoft Virtual PC Trial\VPCShExH.DLL" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt"
  -> {HKLM...CLSID} = "SnagIt"
                  \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll" ["TechSmith Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                  \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
  -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
                  \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
  -> {HKLM...CLSID} = "Haali Column Provider"
                  \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{5574006C-28F5-4a65-A28C-74DE6BFBE0BB}" = "Haali Matroska Shell Property Page"
  -> {HKLM...CLSID} = "Haali Matroska Shell Property Page"
                  \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{327669A0-59A7-4be9-B99E-1C9F3A57611A}" = "Haali Matroska Thumbnail Extractor"
  -> {HKLM...CLSID} = "Haali Matroska Thumbnail Extractor"
                  \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,rundll32.exe start" [MS], [MS], [file not found]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
  -> {HKLM...CLSID} = "Haali Column Provider"
                  \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
  -> {HKLM...CLSID} = "AVK9ContextMenue"
                  \InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit\AVK\ShellExt.dll" ["G DATA Software AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
  -> {HKLM...CLSID} = "AVK9ContextMenue"
                  \InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit\AVK\ShellExt.dll" ["G DATA Software AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "none" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{57E91B47-F40A-11D1-B792-444553540000}\
"ButtonText" = "NetAnts"
"MenuText" = "&NetAnts"
"Exec" = "C:\PROGRA~1\NetAnts\NetAnts.exe" [" "]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                  \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVK Service, AVKService, "C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe" ["G DATA Software AG"]
AVK Wächter, AVKWCtl, "C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe" ["G DATA Software AG"]
AVKProxy, AVKProxy, ""C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"" ["G DATA Software AG"]
nTune Service, nTuneService, "C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe /StartService" ["NVIDIA"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon CAPT Port\Driver = "CNAP1NP.DLL" ["CANON INC."]


---------- (launch time: 2007-11-16 16:14:35)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 112 seconds, including 18 seconds for message boxes)

escan ist immernoch am suchn... kann sich nur noch um stunden handeln ;)...

logfile bis jetzt :

Code:

m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL
   
eScan Version: 9.5.5
Sprache: German
C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
 System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKLM\Software\magnet !!!
 Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\winupdate !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b761a78c-0b7e-11dc-907e-00112fe048b8} !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd09e1c1-4a48-11dc-90a2-000000000000} !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Aktiviert
 Überprüfung aller Festplatten :Deaktiviert
 
Batchstart: 16:35:05,01
Batchende: 16:44:32,31

virusprotokoll von escan: (keine ahnung ob das hilfreich ist)

Code:

Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "euniverse/keenvalue variant Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "euniverse/keenvalue variant Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "shangxing BackDoor" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\USDR6_0001_D08M0404NetInstaller.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\ZIntro.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Cleriker 16.11.2007 17:09

* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe (file missing)
- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Der Rest mit escan kommt dann am Montag. Ich bin im
Weekend. Schönes Wochenende bye

mfg Cleriker

paranoize 16.11.2007 17:28

ok dann schonmal vielen dank und schönes wochenende ;)

Cleriker 19.11.2007 09:21

Morgen,

Zitat:

logfile bis jetzt :
mit escan am Montag dachte ich eigentlich daran,
dass ich nun deine komplette Auswertung bekomme.
Poste das gesamte find.bat - Protokoll.

mfg Cleriker

paranoize 21.11.2007 13:36

hi!

sorry ich musste leider am freitag den scan abbrechn und hatte die tage leider keine zeit für einen neuen...

hier nun die komplette auswertung:

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL
   
eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/16/2007 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
 System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0005976.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007077.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007105.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007106.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007129.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007133.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007136.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0009953.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010006.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010012.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010013.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010014.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010022.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010024.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010026.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010027.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKLM\Software\magnet !!!
 Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\winupdate !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b761a78c-0b7e-11dc-907e-00112fe048b8} !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dc18939c-7ab6-11d9-930b-806d6172696f} !!!
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd09e1c1-4a48-11dc-90a2-000000000000} !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\Emanuel\install\TomTom 6.0.2 For PPC - WM2003 and WM5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\uri alte platte\Hansjoerg\Downloads\Software\Telefon - Softw\Nokia\USPU\Universal SP Unlocker v5.01 Update.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Linux\dvb-treiber\linux-dvb.2003-11-08\doc\dvbapi\bibsection.sty nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Linux\dvb-treiber\linux-dvb.2003-11-08\include\linux\em8300.h nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Toshiba_NB_Hj\pwrsav-sp2100-xp-50900-ge\TPwrReg.$$$ nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Toshiba_NB_Hj\toshiba\Display Driver\generic.tvp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\DigiMate II\Drivers\Windows 2000\readme.txt nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\ATI driver\2KXP_INF\B_19534\ati2cqag.dl_ nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\i-o.bas nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\Nvidia\Win2KXP\61.77\Advanced.tv_ nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\DIAG.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\NWSERVER.42\README.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\NWSERVER.60\README.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\WINXP\README.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\Modem\WinXP\INFCACHE.1 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\VGA\Win2k&XP\agp\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\VGA\Win2k&XP\agp\TITLE.BMP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\dvb218c\software\Base\Html\EPGLng.js nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\dvb218c\software\Base\VideoText\vt_main_l.htm nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\nova-pci218c\software\Base\Help\DE\images\tv_layout.png nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\nova-pci218c\software\Base\Html\EPGLng.js nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\UT2003\A0005900.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\LOSTFILE\UT2003\A0005979.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\3DXWD\3DXWD.WRI nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0_by_atila2(xd).txt nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\RuMSX\ROM\ACROJET.ROM nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\RuMSX\ROM\Athletic Ball (1984) (Ascii) (J).rom nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\RuMSX\ROM\Backgammon (1984) (Sony) (J).rom nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\unreal\alte hd\UnrealTournament\Cache\D77E0E3B4552391CF3623A88EA5C3D76.uxx nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\unreal\alte hd\UnrealTournament\System\IpServer.u nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\unreal\alte hd\UnrealTournament\System\UWeb.u nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\Core.u nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\Editor.int nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\Engine.int nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\relics.int nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\AngelFire.int nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\GamePlay.int nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\IpDrv.int nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\Loaded.u nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\UnrealGame.est nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\XAdmin.int nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\XGame.est nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\XMaps.est nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\Server\linux\konfig\Default2.txt nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 H:\usb platte\Uri\Spiele\unreal\UT2003\UT2003-BonusPack\System\BonusPack.est nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Gescannte Dateien: 124921
 Gefundene Viren: 25
 Anzahl der desinfizierten Dateien: 0
 Umbenannte Dateien: 0
 Anzahl der gelöschten Dateien: 0
 Anzahl Fehler: 89
 Dauer des Scans bisher: 09:39:41
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Deaktiviert
 Überprüfung aller Festplatten :Aktiviert
 
Batchstart: 13:27:03,45
Batchende: 13:27:32,65


Cleriker 21.11.2007 14:01

Zitat:

H:\usb platte\Uri\LOSTFILE\UT2003\A....
Ich weiß nicht was du damit vor hast. Ich weiß auch nicht
genau, welche Auswirkungen diese Dateien haben, aber
ganz koscher kommen mir die UnrealTournemant-Dateien
nicht vor. Vielleicht kannst du mir da weiter helfen. Ansonsten
ist dein Log sauber. Hast du denn noch die Probleme?

Edit:
Zitat:

Dauer des Scans bisher: 09:39:41
Respekt, so viel Geduld haben die wenigsten.

mfg Cleriker

paranoize 21.11.2007 14:40

die datein sind irgend ein backup von meinem bruder... bald wieder gelöscht ;)...

probleme hab ich eigentlich keine mehr aber mir kommts n bisschen komisch vor dass escan 13? viren angezeigt hat... 9 davon hat er gleich am anfang von der c platte gefunden?!

naja wenn ich eh am schlafen bin und danach gleich zur arbeit muss isses mir egal wie lang mein computer braucht ;)...

Cleriker 21.11.2007 16:17

Sonst is der escan clean,
- Lauter Fehlalarme am Anfang,
- Laufwerk D ist wohl dein CD-ROM /DVD-Rom
- Scanfehler durch passwortgeschützes Nero


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131