Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? (https://www.trojaner-board.de/63067-mbam-heuristics-reserved-word-exploit-userinit-exe.html)

Hal 28.10.2008 11:16
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?
 
Hallo,

habe heute mal eine routinemäßigen Scan mit MBAM gemacht (ohne dass besondere Symptome für einen Virenbefall vorlagen) und zu meiner Verwunderung wurden zwei Infektionen gemeldet:

Infizierte Dateien:
C:\Dokumente und Einstellungen\*username*\results.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Nun war ich doch etwas überrascht, da sich kein Virus bemerkbar macht. Mein System (WinXP SP3, IE7, benutze für I-net und Email Opera 9.61) halte ich immer auf dem neuesten Stand, weder bekomme ich seltsame Emails (nicht mal Spam) noch würde ich unbekannte Anhänge öffnen, auf komischen Seiten bewege ich mich schon mal überhaupt nicht.

Hab daraufhin mal die userinit.exe bei Virustotal auswerten lassen (Virustotal. MD5: d1e53dc57143f2584b1dd53b036c0633), ohne Ergebnis.

Google meinte, dass Heuristics.Reserved.Word.Exploit-Meldungen von MBAM manchmal auch False Positives sind, ich würde aber trotzdem gerne auf Nummer sicher gehen.

Hier die Logs von HiJackThis und MBAM:

HiJackThis:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:42, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\*username*\Desktop\Security\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.kaspersky.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 3410 bytes
MBAM:
Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1331
Windows 5.1.2600 Service Pack 3

28.10.2008 10:36:22
mbam-log-2008-10-28 (10-36-18).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48563
Laufzeit: 5 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*username*\results.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Geben die Logs Anlass zur Sorge?

Gruss,
Hal.

myrtille 28.10.2008 11:20
Hi,

ja, da gibt es anlass zur Sorge.

Wo lag die Datei, die du bei virustotal hochgeladen hast?

Gib bitte mal den Pfad "C:\windows\userinit.exe" bei virustotal ein und lass die Datei auswerten.

lg myrtille

EDIT: Wieso hast du keine Antivirenprogramme installiert?

Hal 28.10.2008 11:25
Das ging ja fix.:daumenhoc

Habe die Datei eigentlich genauso hochgeladen, wie du es beschrieben hast, also den Pfad "c:\windows\userinit.exe" eingegeben, dann auf "Senden der Datei", dann auf "Analysiere die Datei".

Hab's gerade noch einmal so gemacht. Ergebnis:

Virustotal. MD5: d1e53dc57143f2584b1dd53b036c0633

Gruss,
Hal.

myrtille 28.10.2008 11:27
Hi,

das scheint die "legitime" userinit.exe zu sein, sie hat jedoch an dem Ort absolut nichts verloren. :eek:

Könntest du bitte folgende Datei ebenfalls bei Virustotal hochladen:
C:\windows\system32\userinit.exe

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille

Hal 28.10.2008 11:49
Hallo,

hmm, ich kann mich sehr dunkel daran erinnern, dass ich vor einigen Monaten mal Probleme mit Login hatte (nach Installation eines Vista Transformation Pack) und im Zuge der anschließenden Reparatur auch die userinit.exe in ein anderes Verzeichnis kopiert habe. Möglich, dass sie dadurch in das Verzeichnis c:\Windows gelangt ist.

Hier mal die Virustotal-Auswertung der userinit.exe in system32: http://www.virustotal.com/de/analisi...a365c2941bd32c

Und die Logs von RSIT:

info.txt:
Code:
info.txt logfile of random's system information tool 1.04 2008-10-28 11:40:06

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop 5.0 Limited Edition-->C:\WINDOWS\UNIN0407.EXE -f"C:\Programme\Adobe\Photoshop 5.0 LE\DeIsL1.isu" -c"C:\Programme\Adobe\Photoshop 5.0 LE\Uninst.dll"
Adobe Photoshop CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Adobe Setup-->MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}
Aspell English Dictionary-0.50-2-->C:\Programme\Aspell\unins001.exe
Aspell German Dictionary-0.50-2-->C:\Programme\Aspell\unins002.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
ClearType Tuning Control Panel Applet-->MsiExec.exe /I{C9E4932C-8417-4E4C-A0E3-EE534810AB4D}
Corel Applications-->C:\WINDOWS\Corel\Uninstal.exe
doPDF 6.0  printer-->"C:\Programme\Softland\doPDF 6\unins000.exe"
Dragon NaturallySpeaking 8-->MsiExec.exe /I{DDDD0C4B-57F7-4A85-ACF0-DB3FC8F1DBB4}
FileZilla Client 3.1.3.1-->C:\Programme\FileZilla FTP Client\uninstall.exe
Foxit Reader-->C:\Programme\Foxit Software\Foxit Reader\Uninstall.exe
GIMP 2.4.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
GIMPshop 2.2.8-->C:\Programme\GIMPshop\uninst.exe
GNU Aspell 0.50-3-->C:\Programme\Aspell\unins000.exe
GTK+ 2.10.11 runtime environment-->"C:\Programme\Gemeinsame Dateien\GTK\2.0\setup\unins000.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\*username*\Desktop\Security\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Intel Matrix Storage Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}\Setup.exe"  -l0407 -INTELUNINST
Intel(R) Graphics Media Accelerator Driver for Mobile-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2792 PCI\VEN_8086&DEV_2592
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Kaspersky Online Scanner-->C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
Maguma Studio 1.3.4-->"C:\Programme\Maguma\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Media Content-->MsiExec.exe /I{90300409-6000-11D3-8CFE-0050048383C9}
Microsoft Office XP Small Business-->MsiExec.exe /I{91130409-6000-11D3-8CFE-0050048383C9}
Motorola SM56 Data Fax Modem-->C:\WINDOWS\Motorola\SMSERIAL\sm56unst.exe
Mozilla Firefox (3.0.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN-->C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{C4A230B7-518F-4224-A5A3-27F06CC57111}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
Opera 9.61-->MsiExec.exe /X{F8CCEF4F-6EEF-4B81-B70D-821E72451D93}
PDF 2 ImagePDF 2-->C:\WINDOWS\cadkasdeinst01.exe "C:\Programme\PDF 2 ImagePDF 2\"
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Peter's Flexible RenAmiNg Kit (PFrank) 2.19-->"C:\Programme\PFrank\unins000.exe"
PHP 5.2.6-->MsiExec.exe /I{6E1205BF-25BC-44A5-B10E-34402BFF5D45}
PTBSync (Atomuhr Synchronisation & Terminkalender)-->C:\Programme\PTBSync\PTBSync.exe /UnInstall
Quicksys RegDefrag 2.0-->"C:\Programme\Quicksys\RegDefrag\unins000.exe"
RadarSync -->C:\Programme\RadarSync\uninst.exe
Registry System Wizard-->"C:\Programme\Registry System Wizard\unins000.exe"
Revo Uninstaller 1.75-->C:\Programme\VS Revo Group\Revo Uninstaller\uninst.exe
Secunia PSI (RC3)-->"C:\Programme\Secunia\PSI (RC3)\uninstall.exe"
Security Task Manager 1.7f-->C:\Programme\Security Task Manager\Uninstal.exe "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager"
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7  -removeonly
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{E7A744FD-E1B8-4FF6-ADC1-EA4C32181457} /l1033
Trillian-->C:\Programme\Trillian\trillian.exe /uninstall
Ultra Defragmenter-->"C:\WINDOWS\UltraDefrag\uninstall.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update Manager-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
VertrigoServ (remove only)-->C:\Programme\VertrigoServ\Uninstall.exe
Vista Icon Pack v3 System Patch-->VIPuninstall.bat
VistaMizer 2.5.2.0-->C:\WINDOWS\VistaMizer\Uninstall.exe
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Messenger 5.1-->MsiExec.exe /I{76EA55BD-535F-4AB4-AD80-A8CA331F4E6F}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
xp-AntiSpy 3.96-8-->C:\Programme\xp-AntiSpy\Uninstall.exe

=====HijackThis Backups=====

O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Programme\OneStepSearch\onestep.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - (no file)

======Hosts File======

127.0.0.1 ilead.track.it
127.0.0.1 www.layer-ads.de
127.0.0.1 layer-ads.de
127.0.0.1 www.sponsorads.de
127.0.0.1 sponsorads.de
127.0.0.1 www.way2cash.eu
127.0.0.1 www.ad4cash.de
127.0.0.1 www.adpark.de
127.0.0.1 www.adspin.de
127.0.0.1 www.gigacash.de

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=C:\Programme\VertrigoServ\Php\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;C:\Perl\bin;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0d08
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"PHPRC"=C:\Programme\VertrigoServ\Php\

-----------------EOF-----------------

Hal 28.10.2008 11:50
log.txt:
Code:
Logfile of random's system information tool 1.04 (written by random/random)
Run by *username* at 2008-10-28 11:40:04
Microsoft Windows XP Professional Service Pack 3
System drive C: has 34 GB (60%) free of 57 GB
Total RAM: 502 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:40:05, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\*username*\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\*username*\Desktop\Security\Admin.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.kaspersky.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 3460 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PTBSync"=C:\Programme\PTBSync\PTBSync.exe [2008-10-27 492544]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2008-10-22 399504]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleanup]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2008-04-14 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\WINDOWS\system32\hkcmd.exe [2005-03-22 126976]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe [2005-03-09 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
C:\WINDOWS\system32\igfxtray.exe [2005-03-22 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe [2005-08-11 249856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2005-08-11 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rfagent]
C:\Programme\RFA\rfagent.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2008-09-29 21755688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
C:\WINDOWS\sm56hlpr.exe [2005-04-26 544768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-09-29 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-10-05 688218]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-10-05 98394]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VIPv3_Auto_Update]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vistadrv]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VisualTooltip]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Ad Muncher.lnk]
C:\PROGRA~1\ADMUNC~1\AdMunch.exe [2007-11-03 779776]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^CLCL.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Hotmail Popper.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^OpenOffice.org 1.1.5.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MacroMaker.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~3\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"IDriverT"=3
"IAANTMon"=2
"gusvc"=2
"AVWUpSrv"=2
"AntiVirService"=2
"wscsvc"=2
"sdCoreService"=2
"sdAuxService"=2
"WLSetupSvc"=3
"usnjsvc"=3
"FLEXnet Licensing Service"=3
"AVP"=3
"Apache2.2"=3
"aawservice"=3
"MDM"=2
"ImapiService"=3
"PSI_SVC_2"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2005-03-22 348160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Programme\Maguma\tools\DbgListener.exe"="C:\Programme\Maguma\tools\DbgListener.exe:*:Disabled:Listener for php debugger DBG"
"C:\Programme\Opera\Opera.exe"="C:\Programme\Opera\Opera.exe:*:Enabled:Opera Internet Browser"
"C:\Programme\ftp-uploader\FTPUploader.exe"="C:\Programme\ftp-uploader\FTPUploader.exe:*:Enabled:ftpuploader.de"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\VertrigoServ\Apache\bin\v_apache.exe"="C:\Programme\VertrigoServ\Apache\bin\v_apache.exe:*:Enabled:Apache h**p Server"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6b299a4-05f1-11dc-86af-000ae4aa4c84}]
shell\AutoRun\command - E:\Secret.exe
shell\explore\command - E:\Secret.exe
shell\open\command - E:\Secret.exe


======File associations======

.js - edit -
.js - open -

======List of files/folders created in the last 1 months======

2008-10-28 11:40:04 ----D---- C:\rsit
2008-10-28 10:28:27 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Malwarebytes
2008-10-28 10:28:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-28 10:28:21 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-10-28 08:14:29 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Miranda
2008-10-27 08:43:22 ----SD---- C:\Programme\PTBSync
2008-10-27 08:43:22 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PTBSync
2008-10-24 08:38:53 ----D---- C:\Programme\GIMPshop
2008-10-16 09:34:23 ----D---- C:\OFFICE10
2008-10-15 09:29:02 ----A---- C:\WINDOWS\longfile.INI
2008-10-15 09:28:59 ----RA---- C:\WINDOWS\system32\VBOA300.DLL
2008-10-15 09:28:59 ----RA---- C:\WINDOWS\system32\VBDB300.DLL
2008-10-15 09:28:59 ----RA---- C:\WINDOWS\system32\VBA32.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\VBAR2132.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\VBAEN32.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\MSOC95.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\MSLT3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\VBRUN300.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSXL3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSXB3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSTX3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSRD2X32.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSPX3032.DLL
2008-10-15 09:28:56 ----RA---- C:\WINDOWS\system32\VBAR2232.DLL
2008-10-15 09:28:56 ----RA---- C:\WINDOWS\system32\MSJTER32.DLL
2008-10-15 09:28:56 ----RA---- C:\WINDOWS\system32\MSJINT32.DLL
2008-10-15 09:28:55 ----RA---- C:\WINDOWS\system32\MSJT3032.DLL
2008-10-15 09:26:29 ----N---- C:\WINDOWS\system32\scpext.dll
2008-10-15 09:26:28 ----N---- C:\WINDOWS\system32\mfcuia32.dll
2008-10-15 09:26:28 ----N---- C:\WINDOWS\system32\mfcans32.dll
2008-10-15 09:26:27 ----N---- C:\WINDOWS\system32\mfc30.dll
2008-10-15 09:26:25 ----N---- C:\WINDOWS\system32\scint70.dll
2008-10-15 09:26:08 ----D---- C:\Programme\Corel Draw 7
2008-10-15 08:52:15 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\InstallShield
2008-10-14 10:02:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2008-10-14 09:58:41 ----A---- C:\WINDOWS\system32\javaws.exe
2008-10-14 09:58:41 ----A---- C:\WINDOWS\system32\javaw.exe
2008-10-14 09:58:41 ----A---- C:\WINDOWS\system32\java.exe
2008-10-14 09:57:53 ----D---- C:\Programme\Java
2008-10-14 09:55:46 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Skype
2008-10-14 09:55:30 ----D---- C:\Programme\Skype
2008-10-14 09:36:08 ----D---- C:\Programme\Mozilla Firefox
2008-10-14 07:53:10 ----D---- C:\Programme\Secunia
2008-10-09 08:29:30 ----D---- C:\Programme\PDF 2 ImagePDF 2
2008-10-09 08:29:30 ----A---- C:\WINDOWS\cadkasdeinst01.exe

======List of files/folders modified in the last 1 months======

2008-10-28 11:40:04 ----D---- C:\Temp
2008-10-28 11:39:38 ----D---- C:\WINDOWS\Prefetch
2008-10-28 10:52:38 ----D---- C:\Programme\Trillian
2008-10-28 10:28:25 ----D---- C:\WINDOWS\system32\drivers
2008-10-28 10:28:21 ----SD---- C:\Programme
2008-10-27 12:08:48 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-27 10:55:46 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Mozilla
2008-10-27 08:43:22 ----RSD---- C:\WINDOWS\Fonts
2008-10-27 08:07:00 ----D---- C:\WINDOWS\system32
2008-10-27 08:07:00 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-27 08:05:16 ----D---- C:\WINDOWS
2008-10-24 08:01:35 ----HD---- C:\WINDOWS\inf
2008-10-24 08:01:30 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-24 08:01:10 ----HD---- C:\WINDOWS\$hf_mig$
2008-10-24 08:01:07 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-22 10:54:48 ----D---- C:\WINDOWS\Temp
2008-10-22 10:54:48 ----D---- C:\WINDOWS\Debug
2008-10-22 10:18:33 ----D---- C:\WINDOWS\Help
2008-10-22 08:46:15 ----SHD---- C:\WINDOWS\Installer
2008-10-22 08:46:07 ----D---- C:\Programme\Opera 9
2008-10-16 08:35:43 ----D---- C:\Programme\Internet Explorer
2008-10-16 07:04:50 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2008-10-15 17:35:02 ----A---- C:\WINDOWS\system32\netapi32.dll
2008-10-15 09:29:00 ----D---- C:\WINDOWS\msapps
2008-10-15 09:28:52 ----D---- C:\WINDOWS\Corel
2008-10-15 09:16:51 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\gtk-2.0
2008-10-15 09:13:50 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-15 09:12:23 ----D---- C:\WINDOWS\WinSxS
2008-10-15 09:05:44 ----SH---- C:\boot.ini
2008-10-15 09:05:44 ----A---- C:\WINDOWS\win.ini
2008-10-15 09:05:44 ----A---- C:\WINDOWS\system.ini
2008-10-14 11:01:15 ----RSD---- C:\WINDOWS\assembly
2008-10-14 11:00:20 ----D---- C:\WINDOWS\Microsoft.NET
2008-10-14 10:21:01 ----SHD---- C:\System Volume Information
2008-10-14 10:21:01 ----D---- C:\WINDOWS\system32\Restore
2008-10-14 09:55:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-10-14 09:41:57 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\FileZilla
2008-10-14 09:33:26 ----D---- C:\Programme\FileZilla FTP Client
2008-10-14 09:17:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2008-10-14 09:17:00 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2008-10-14 09:15:40 ----D---- C:\Programme\Adobe
2008-10-14 09:10:59 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\AdobeUM
2008-10-14 09:04:43 ----SD---- C:\WINDOWS\Web
2008-10-14 07:47:04 ----D---- C:\Programme\Lavasoft
2008-10-14 07:47:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-14 07:46:13 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 09:27:44 ----D---- C:\Programme\VertrigoServ
2008-10-07 20:19:40 ----A---- C:\WINDOWS\system32\MRT.exe
2008-10-03 17:58:14 ----A---- C:\WINDOWS\system32\ieframe.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 Tcpip6;Microsoft IPv6-Protokolltreiber; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-06-20 225856]
R2 PortTalk;PortTalk; \??\C:\WINDOWS\system32\Drivers\PtbTalk.sys []
R2 rspndr;Antwort für Verbindungsschicht-Topologieerkennung; C:\WINDOWS\system32\DRIVERS\rspndr.sys [2006-11-08 62336]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2005-04-25 135168]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-03-22 827196]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2005-03-04 74496]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
R3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys [2005-04-26 839436]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-10-05 185824]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-04-05 160768]
R3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-13 12288]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2004-10-29 3222784]
S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-13 88320]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 PSI;PSI; C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
S3 RT2500USB;RT2500 USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2004-08-13 140544]
S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 ultradfg;ultradfg; C:\WINDOWS\System32\DRIVERS\ultradfg.sys [2008-03-09 23040]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S4 ADILOADER;General Purpose USB Driver (adildr.sys); C:\WINDOWS\System32\Drivers\adildr.sys []
S4 adiusbaw;USB ADSL WAN Adapter; C:\WINDOWS\system32\DRIVERS\adiusbaw.sys []
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2004-08-04 13952]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S3 6to4;IPv6-Hilfsdienst; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-07-30 654848]
S4 IAANTMon;Intel(R) Matrix Storage Event Monitor; C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe [2005-03-09 86140]
S4 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2004-01-14 311296]
S4 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2003-06-19 322120]

-----------------EOF-----------------
Gruss,
Hal.

myrtille 28.10.2008 19:49
Hi,

es scheint erstmal nicht so auszusehen als ob du infizierst bist und da die Datei auch eine Microsoftdatei ist, würde ich vermuten, dass die Datei durch dich dort hinkopiert worden ist, bzw durch ein Programm dorthin verlegt wurde.

Wenn du die Datei dort behalten möchtest kannst du sie als Ausnahme bei MBAM hinzufügen.

Die Datei ist dir bekannt?
Zitat:
C:\Dokumente und Einstellungen\*username*\results.txt
lg myrtille

Hal 28.10.2008 20:15
Danke für die schnelle Rückmeldung. Werd die Datei dann wohl löschen.

Die andere Datei "results.txt" ist mir nicht bekannt. Ist eine reine Text-Datei und enthält nur ein paar Einträge, die mit "log=AegisP Protocol [...]" beginnen. Ich hatte dieser Datei keine grosse Beachtung geschenkt, die userinit.exe hat mich wesentlich nervöser gemacht.

Bin ich damit entlassen?

Gruss,
- Hal.

myrtille 28.10.2008 20:40
Hi,

die Datei scheint mit deiner Handysoftware zusammenzuhängen. Sollte jedenfalls gutartig sein.

Die userinit.exe ist auch nicht bösartig, jedoch an der Stelle unerwünscht.

Soweit gibts dann keine Anzeichen für Malware.

lg myrtille

Hal 28.10.2008 20:44
Dann sag ich mal allerbesten Dank.

Gruss,
Hal.

BataAlexander 03.09.2009 11:36
Hallo Ihr beiden,

würde HAL für mich die Datei

Zitat:
E:\Secret.exe
auch noch bei Virustotal scannen lassen?

nochdigger 03.09.2009 12:16
Moin

Zitat:
Hal
28.10.2008 20:44
Alex, meinst du da kommt noch was:p...
evtl. hast du kein Pech und die Datei ist noch vorhanden.

MFG

BataAlexander 03.09.2009 12:22
http://www.planet-smilies.de/coole/coole_001.gif
Blindes posten nennt man das wohl.:eek:
Sorry...

nochdigger 03.09.2009 12:26
Hallo

Zitat:
Blindes posten nennt man das wohl.
Ach watt, er ist doch grade Online evtl. ist die Datei wirklich noch vorhanden, ein Versuch ist es wert.

MFG

Hal 03.09.2009 17:39
Zitat:
Zitat von BataAlexander (Beitrag 462233)
würde HAL für mich die Datei



auch noch bei Virustotal scannen lassen?
Hallo,

die Datei gibt es wohl nicht mehr. Der Rechner hat gar kein festes Laufwerk E:, die muss wenn dann auf einem USB Stick gewesen sein, und die sind bereits alle formatiert und desinfiziert.

Komisch nur, wie die in den Autostart gelangt ist. Google weiß ja nicht gerade freundliches zu berichten...

Wenn ich sie nochmal wiederfinde, tue ich dir aber noch den Gefallen. Aber verrate mir doch mal, wie du an DIESEN Thread gekommen bist? Der muss doch schon lange in den Untiefen des Boards verschwunden sein. Als ich eine PN erhielt mit dem schlichten Hinweis, es gäbe noch was in meinem Thread, hatte ich spontan nicht den blassesten Schimmer, wo es denn noch was zu geben gäbe (welch ein Deutsch).

- Hal.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131