moin,
die meldung kam auch gestern bei mir. avira hat folgendes gefunden
.........................
In der Datei 'E:\System Volume Information\_restore{9F4C8E11-E01D-4542-84EC-8C82B7CA0D2C}\RP299\A0032595.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Delf.oex' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
.........................
hijackthis-log
.........................
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:18, on 14.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Creative\Shared Files\CTDevSrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\Creative\Software Update 3\SoftAuto.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\JMessage\jmessage\jmessage_paket\server\jms.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\SlimBrowser\sbrowser.exe
E:\DOWNLOADS\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\VIDEO_~1\TrayServer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Programme\Creative\Software Update 3\SoftAuto.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit jms.exe.lnk = C:\JMessage\jmessage\jmessage_paket\server\jms.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe
O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Programme\Creative\Creative Centrale\CTUPnPSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
--
End of file - 10035 bytes
........................
mbam-log
.......................
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1848
Windows 5.1.2600 Service Pack 3
14.03.2009 12:23:34
mbam-log-2009-03-14 (12-23-34).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 210739
Laufzeit: 1 hour(s), 12 minute(s), 7 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
........................
mbr-log
.......................
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
.......................
hab auch mal in System Volume Information von der E: reingeschaut unter
_restore{9F4C8E11-E01D-4542-84EC-8C82B7CA0D2C} RP299
und die change.logs.2 (geändert 13.03.2009 00.32) als .txt im editor anzeigen lassen. da kam u.a. folgendes raus
............................
� �ïÍ«� ì � \ D e v i c e \ H a r d d i s k V o l u m e 2 \ S y s t e m V o l u m e I n f o r m a t i o n \ _ r e s t o r e { 9 F 4 C 8 E 1 1 - E 0 1 D - 4 5 4 2 - 8 4 E C - 8 C 8 2 B 7 C A 0 D 2 C } \ R P 2 9 9 \ c h a n g e . l o g � �� � �ïÍ«� � &Ü� ˆ � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a \ c l C a p t c h a . b a t " � A 0 0 3 2 5 9 4 . b a t �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � p � � ÿ�� �� � � � ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� � © � �� � !� t l o a d \ o c r \ n e t l o a d . i n \ u p d a t e . i n f " C L C A P T ~ 1 . B A T �� �� � �ïÍ«� � 'Ü� ˆ � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a \ c l C a p t c h a . e x e " � A 0 0 3 2 5 9 5 . e x e �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � p � � ÿ�� �� � � � ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� � © � �� � !� b l i c K e y T o k e n = 9 0 b a 9 c 7 0 f 8 4 6 7 6 2 e !�� NtFC" C L C A P T ~ 1 . E X E �� Ò� � �ïÍ« � � � (Ü� l � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � ´ � �� ÿ�� �� � � �� ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� �� ��� � �� © � �� � !� �� � �� � !� �� � �� � !� � C L C A P T ~ 1 Ò� ú� � �ïÍ«� � )Ü� n � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ u p d a t e . i n f " � A 0 0 3 2 5 9 6 . i n f �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � p � � ÿ�� �� � � � ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� � © � �� � !� � ConfigFlags ����CMVa�U�ãvk
p� �ü= � � r HardwareIDö n n � u p d a t e . i n f ú� ´ � �ïÍ« ÿÿÿÿ*Ü� p � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ C a p . e x e ´ Æ � �ïÍ«� # +Ü� ‚ � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p . e x e . m a n i f e s t Æ �� � �ïÍ«� � € ,Ü� ‚ � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ C a p . e x e . m a n i f e s t , � A 0 0 3 2 5 9 7 . m a n i f e s t �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � p � � ÿ�� �� � � � ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� � © � �� � !� t l o a d \ o c r \ n e t l o a d . i n \ u p d a t e . i n f " C A P E X E ~ 1 . M A N �� ¾ � �ïÍ«€ ÿÿÿÿ-Ü� z � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p L e t t e r s M U ¾ ¾ � �ïÍ«� � .Ü� z � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p L e t t e r s M U ¾ ¸ � �ïÍ« ÿÿÿÿ/Ü� t � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ c a p M U . i n i ¸ ¼ � �ïÍ« ÿÿÿÿ0Ü� x � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ c o n v e r t . e x e ¼  � �ïÍ« ÿÿÿÿ1Ü� ~ � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ F i n e O C R _ M U . b a t  ¤ � �ïÍ«� � 2Ü� ` � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p ¤ œ � �ïÍ«� � 3Ü� X � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m œ ² � �ïÍ« ÿÿÿÿ4Ü� n � \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ u p d a t e . i n f ² �� � �ïÍ«� � � Ü� � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i " � A 0 0 3 2 6 1 9 . i n i �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � X � $ ÿ�� �� �� Ûë�P�ø`�#_ckë� � ÿ�� �� �� � ÿ�� �� � � 4 0 - 5 0 8 1 - 1 0 1 B - 9 F 0 8 - 0 0 A A 0 0 2 F 9 5 4 E } \ S h e l l F o l d e r d e s k t o p . i n i �� Ô � �ïÍ« ÿÿÿÿŽÜ� � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô ¼ � �ïÍ«� � Ü� x � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 ¼ ` � �ïÍ«� � Ü� � � \ R E C Y C L E R ` p � �ïÍ«€ ÿÿÿÿ•Ü� , � \ M y M o v i e s \ M a r l e y p Ä � �ïÍ«€ ÿÿÿÿ–Ü� € � \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s Ä ê � �ïÍ« ÿÿÿÿ—Ü� ¦ � \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ p l - m a r l e y _ x v i d . n f o ê Ì � �ïÍ«€ ÿÿÿÿ™Ü� ˆ � \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 Ì Ì � �ïÍ«€ ÿÿÿÿ›Ü� ˆ � \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 Ì X� � �ïÍ« � � ÿÿÿÿ£Ü� € � \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s r � \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s " M A R L E Y ~ 1 . X V I X� Æ� � �ïÍ«� � ÿÿÿÿ¤Ü� z � \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � ´ � �� ÿ�� �� � � �� ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� �� ��� � �� © � �� � !� �� � �� � !� �� � �� � !� Æ� Æ� � �ïÍ«� � ÿÿÿÿ¥Ü� z � \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � ´ � �� ÿ�� �� � � �� ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� �� ��� � �� © � �� � !� �� � �� � !� �� � �� � !� Æ� ä� � �ïÍ«� � ÿÿÿÿ¦Ü� ˜ � \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ p l - m a r l e y _ x v i d . n f o �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � p � � ÿ�� �� � � � ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� � © � �� � !� . W i n d o w s . C o m m o n - C o n t r o l s . m u i . D L L C ä� ¾� � �ïÍ«� � ÿÿÿÿ§Ü� r � \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � ´ � �� ÿ�� �� � � �� ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� �� ��� � �� © � �� � !� �� � �� � !� �� � �� � !� ¾� �� � �ïÍ« � � ÿÿÿÿ¨Ü� , � \ M y M o v i e s \ M a r l e y € � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 1 � M a r l e y �� N� � �ïÍ« � � ÿÿÿÿ©Ü� z � \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 € � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 2 � C D 1 N� N� � �ïÍ« � � ÿÿÿÿªÜ� z � \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 € � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 3 � C D 2 N� Ô � �ïÍ«� ÿÿÿÿ*Ü� � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô Ü� � �ïÍ« � � � ®Ü� € � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 3 �� � � �„� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � ´ � �� ÿ�� �� � � �� ÿ�� �� �� �$ ÿ�� �� �� Ûë�P�ø`�#_ckë� �� ��� � �� © � �� � !� �� � �� � !� �� � �� � !� � D e 3 Ü� Ü� � �ïÍ« � � � ¯Ü� € � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 2 �� � � �„� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � ´ � �� ÿ�� �� � � �� ÿ�� �� �� �$ ÿ�� �� �� Ûë�P�ø`�#_ckë� �� ��� � �� © � �� � !� �� � �� � !� �� � �� � !� � D e 2 Ü� Ü� � �ïÍ« � � � °Ü� € � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 1 �� � � �€� 0 L �� �� Ûë�P�ø`�#_ckë� �� �� Ûë�P�ø`�#_ck�� � ´ � �� ÿ�� �� � � �� ÿ�� �� �� $ ÿ�� �� �� Ûë�P�ø`�#_ckë� �� ��� � �� © � �� � !� �� � �� � !� �� � �� � !� � D e 1 Ü� Ô � �ïÍ« ÿÿÿÿ±Ü� � \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô
.........................
da taucht auch die infizierte .exe A0032595 wieder auf.
da antivir erst am 14.03.2009 00.03 gemeckert hatte, könnte es etwas mit cryptload zu tun haben?
und kann sich das backdoor woanders noch eingenistet haben, obwohl es
in quarantäne verschoben wurde und gelöscht werden kann?
möchte eigentlich ein "plattmachen" umgehen.
PS: hab den film tags zuvor "original" im kino geschaut ;-)
danke und gruß
DURAN | 